近日,安天 CERT 在梳理网络安全事件时发现了一个名为 Chaos 的勒索软件。该勒索软件被发现于 2021 年 6 月初,主要通过垃圾邮件进行传播。经验证,安天智甲终端防御系统(简称 IEP)的勒索软件防护模块可有效阻止Chaos 勒索软件的加密行为。
Chaos 勒索软件目前处于升级开发状态,其设计者在黑客论坛中公开构建器,并广泛征集修改建议,不断完善软件功能。因部分功 能 与 Ryuk 勒 索 软 件 较 为 相 似, 设 计 者 想将其命名为 Ryuk。该勒索软件使用 .NET 框架开发,具备反调试功能,运行后创建名为" 7z459ajrk722yn8c5j4fg" 的互斥体保证单实例运 行。 复 制 自 身 至 %Appdata%\Roaming 路径下并修改文件名为“svchost.exe”,添加注册 表 项 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Store、在启动目录中创建“svchost.url”文件从而实现持久化驻留和自启动。该勒索软件不采用加密算法对文件进行加密,而是使用随机字节数据覆写原始文件数据,在原文件名后追加“.apis”后缀。在含有被覆写文件的位置创建“read_apis.txt”勒索信,内容为勒索提醒、赎金金额和比特币钱包地址。随后删除系统卷影,删除备份和禁用修复功能,以防止恢复被覆写文件。
▲ Chaos 勒索软件勒索信
Chaos 勒索软件采用随机字节数据覆盖的方式覆盖文件原始数据,会造成文件数据的丢失。无论受害者是否缴纳赎金,攻击者都无法为受害者解密文件。
安天提醒广大用户,及时备份重要文件,且文件备份应与主机隔离;及时安装更新补丁,避免勒索软件利用漏洞感染计算机;对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;尽量避免打开社交媒体分享的来源不明的链接,给信任网站添加书签并通过书签访问;避免使用弱口令或统一的密码;确保所有的计算机在使用远程桌面服务时采取 VPN连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭;可以使用反病毒软件(如安天智甲)扫描邮件附件,确认安全后再运行。目前,安天追影产品已经实现了对该类勒索软件的鉴定;安天智甲已经实现了对该勒索软件的查杀。
