黑客使用 WinRAR 绕过勒索软件保护

黑客使用 WinRAR 绕过勒索软件保护

 

自称“Memento team”的演员使用基于 Python 的勒索软件，他们在受挫后重新配置。

新勒索软件的运营商已经找到了当受害者对此类恶意软件使用特殊保护时如何阻止文件的方法。

对 Sophos 十月攻击的分析表明，为了避免此类干扰，攻击者现在使用 WinRAR 归档目标数据并设置访问密码。Memento 使用VMware VCenter的CVE-2021-21972漏洞渗透目标网络。该 RCE 漏洞的补丁已于 2 月份发布，但并非所有用户都愿意安装它。

在受感染的服务器上保护自己后，攻击者创建一个 SSH 隧道，提取管理员凭据，并开始使用 RDP 在网络中移动。完成侦察后，黑客使用 BCWipe 实用程序小心地清除了他们的活动痕迹并启动了勒索软件。

Memento 勒索软件攻击流程

这个用 Python 3.9 编写的恶意软件首先使用 WinRAR 归档文件，然后使用 AES 对其进行加密。然而，后一种行为往往会触发为这种行为量身定制的反病毒保护，因此 Memento 不得不调整其代码。

现在恶意软件不使用加密器，它只使用 WinRAR，将.vaultz扩展名分配给结果 。为每个存档生成一个密码，然后使用 RSA 对其进行加密。

存档文件的原件被删除，并在管理员的桌面上放置了一张赎金票据——每份文件总计 15.95 BTC（约 100 万美元）或 0.099 BTC。根据专家的说法，这条消息的格式和文本是从REvil 借来的，黑客在 Telegram 和 Protonmail 中提供联系人进行通信。

引起专家注意的攻击的受害者没有支付赎金——他们从备份中恢复了他们的文件，担心提前创建备份。