日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

歷史追溯和影響

Nokoyawa是今年早些時候出現(xiàn)的一種新型基于Windows平臺開發(fā)的勒索軟件。收集的最早樣本是于2022年2月編譯的，并且與原勒索軟件Karma具有大量代碼存在相似之處（Karma是另一種可以上溯到Nemty的勒索軟件，而Nemty是相關(guān)研究人員在2019年報告的勒索軟件家族）。

成都創(chuàng)新互聯(lián)公司專注于新和網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供新和營銷型網(wǎng)站建設(shè)，新和網(wǎng)站制作、新和網(wǎng)頁設(shè)計、新和網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)服務(wù)，打造新和網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供新和網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

最近，我們獲得了這個勒索軟件活動的一個新變種，并觀察到它一直在通過對于其它勒索軟件的開源代碼的重用來不斷地改進(jìn)自身。在本文中，我們將討論Nokoyawa Ransomware的一般行為以及它最近添加的新功能，即以最大限度地增加可以加密的文件數(shù)量。

• 受影響的平臺：Windows
• 受影響方：Windows 用戶
• 影響：文件可能丟失
• 嚴(yán)重級別：中

概覽

本節(jié)提供了Nokoyawa如何工作的一般性描述，以避免重復(fù)其他已經(jīng)發(fā)布的相關(guān)信息。

需要說明的是，與其所謂的勒索軟件前身Karma不同，此勒索軟件可以在32位和64位Windows上運(yùn)行，本文只涉及到64位 Windows平臺樣本。

Nokoyawa為自定義執(zhí)行提供了幾個命令行選項(xiàng)：

• help：打印命令行選項(xiàng)列表
• network：加密所有驅(qū)動器和卷上的文件(本地和網(wǎng)絡(luò))
• file filePath：加密單個文件
• dir dirPath：加密指定目錄和子目錄中的所有文件

如果沒有提供參數(shù)，Nokoyawa默認(rèn)加密所有本地驅(qū)動器和卷。值得一提的是，“help”參數(shù)比較有意思，因?yàn)樗砻骼账鬈浖_發(fā)人員可能是獨(dú)立于在受感染機(jī)器上部署和執(zhí)行勒索軟件的運(yùn)營商團(tuán)隊(duì)。

為了提升加密的速度和效率，Nokoyawa創(chuàng)建了多個線程來加密不以 .exe、.dll 或 .lnk 擴(kuò)展名結(jié)尾的文件。名稱中帶有NOKOYAWA的文件也會被跳過。此外，一些目錄及其子目錄通過將其名稱的哈希與硬編碼的哈希列表進(jìn)行比較而被排除在加密之外。

對于每個樣本，勒索軟件運(yùn)營商都會生成一對新的橢圓曲線加密(ECC)公鑰和私鑰（又名密鑰對），然后將公鑰嵌入到勒索軟件二進(jìn)制文件中。這對密鑰可以被視為在支付贖金時解密文件所必需的“主”密鑰。假設(shè)每個樣本都是為不同的受害者部署的，勒索軟件運(yùn)營商消除了受害者使用提供給另一個受害者的解密器的可能性，因?yàn)槊總€受害者都鏈接到一個單獨(dú)的“主”密鑰對。

在加密每個文件之前，Nokoyawa會為每個文件創(chuàng)建一個新的臨時密鑰對（受害者文件密鑰）。使用受害者文件的私鑰和來自威脅參與者的“主”公鑰，使用橢圓曲線ECDH生成一個64字節(jié)的共享密鑰。這個共享密鑰的前32個字節(jié)與硬編碼的nonce‘lvcelvce’一起用作密鑰，用于加密每個文件的內(nèi)容。

SHA1哈希是基于先前生成的共享密鑰和文件內(nèi)容生成的，并與受害者文件的公鑰和字符串“NOKOYAWA”一起附加在每個加密文件的末尾。此散列很可能用于在解密期間檢查數(shù)據(jù)完整性。

因此，需要受害者文件的公鑰和勒索軟件運(yùn)營商擁有的“主”私鑰來重新生成Salsa20密鑰以解密每個加密文件。

被勒索軟件加密的文件會附加一個.NOKOYAWA擴(kuò)展名。贖金記錄被寫入每個包含用于加密的目錄中的NOKOYAWA_readme.txt中。

相關(guān)勒索代碼

2022年4月樣本包含三個新功能，以最大限度地增加Nokoyawa可以加密的文件數(shù)量。這些功能已經(jīng)存在于當(dāng)代勒索軟件系列中，它們的添加只是表明Nokoyawa開發(fā)人員試圖在技術(shù)能力方面趕上其他勒索軟件運(yùn)營商。

實(shí)驗(yàn)室的研究人員能夠確定，大部分添加的代碼都是從公開來源復(fù)制的，包括2021年9月泄露的現(xiàn)已失效的Babuk勒索軟件的來源。

這種公開復(fù)制的一個例子是包含終止進(jìn)程和服務(wù)的功能，以減少被其他程序鎖定的文件數(shù)量，以便加密代碼可以加密這些文件。代碼（包括進(jìn)程列表和服務(wù)名稱）與Babuk中的實(shí)現(xiàn)完全匹配。圖1中的圖像顯示了從Babuk泄露的源代碼（左）和Nokoyawa的反編譯代碼（右）中獲取的服務(wù)查殺功能的比較。

圖1 Babuk和Nokoyawa的服務(wù)查殺代碼比較

受Nokoyawa影響的應(yīng)用程序和服務(wù)包括Microsoft Office應(yīng)用程序、電子郵件客戶端、瀏覽器、備份程序、安全產(chǎn)品和數(shù)據(jù)庫服務(wù)器。

它還包括枚舉和掛載卷以加密這些卷上的文件的代碼，再次重用從泄露的Babuk源復(fù)制的確切代碼。

在收集的最新樣本中，它通過使用IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE (0x53c028) 控制代碼的DeviceIoControl API將卷影副本快照的分配空間大小調(diào)整為1字節(jié)來刪除卷快照。此大小太小而無法存儲快照，將導(dǎo)致Windows刪除它們。之前曾有其它研究，報道過這種技術(shù)的使用，其實(shí)現(xiàn)似乎是從公開可用的PoC代碼中復(fù)制而來的。

要使上述功能正常運(yùn)行，需要管理員權(quán)限。由于我們沒有觀察到樣本正在執(zhí)行任何Windows用戶訪問控制 (UAC) 繞過，因此操作員很可能在執(zhí)行勒索軟件之前使用其他方式升級或獲取管理權(quán)限。

贖金票據(jù)

贖金票據(jù)以及受害者與肇事者溝通的方式在新變種中也發(fā)生了重大變化。在2022年2月的舊樣本中，受害者被指示通過電子郵件聯(lián)系勒索軟件運(yùn)營商，如圖2所示：

圖2 2022年2月的Nokoyawa樣本贖金票據(jù)

但是，在2022年4月的樣本中，電子郵件地址已被刪除。它們被替換為通過TOR瀏覽器通過.onion URL聯(lián)系勒索軟件運(yùn)營商的說明。每個樣本在贖金記錄中使用相同的.onion域，假定為受害者標(biāo)識符的id參數(shù)對于每個樣本都是唯一的，如下圖所示：

圖3 2022年4月Nokoyawa樣本中的贖金票據(jù)

新的贖金付款頁面

訪問Onion URL會進(jìn)入一個帶有在線聊天框的頁面，用于與運(yùn)營商進(jìn)行溝通以協(xié)商和支付贖金。研究人員觀察到可能的受害者（公司）和勒索軟件運(yùn)營商（用戶）之間的持續(xù)對話。根據(jù)此聊天記錄，威脅參與者提供最多3個文件的免費(fèi)解密，以證明他們可以解密受害者的文件，如圖4所示：

圖4 贖金付款頁面

“說明”頁面顯示了贖金金額，在本例中為 1,500,000（可能是美元），可以用BTC（比特幣）或XMR（門羅幣）支付。付款后，勒索軟件運(yùn)營商聲稱提供解密受害者文件的工具（圖 5）。

圖5 贖金付款指導(dǎo)頁面

鑒于某些勒索軟件活動的專業(yè)化程度越來越高，這個TOR網(wǎng)站可能是一種改進(jìn)的嘗試，也可能是讓一個單獨(dú)的團(tuán)隊(duì)處理贖金談判的一種方式。

值得關(guān)注的是，勒索信中包含以下信息：“聯(lián)系我們以達(dá)成協(xié)議，否則我們會將您的黑屎泄露給媒體”，這表明受害者的數(shù)據(jù)可能在感染期間被泄露。然而，我們并沒有在Nokoyawa樣本中發(fā)現(xiàn)這種能力。事實(shí)上，除了枚舉網(wǎng)絡(luò)驅(qū)動器之外，根本沒有觀察到與其它行為。運(yùn)營商可能會單獨(dú)執(zhí)行數(shù)據(jù)泄露，或者他們可能只是虛張聲勢，進(jìn)一步迫使受害者支付贖金。

總結(jié)

在本文中，我們重點(diǎn)介紹了對Nokoyawa Ransomware新變種所做的改進(jìn)。它還展示了威脅行為者如何通過重用的開源代碼，以最小的努力快速為其惡意軟件添加新功能。

名稱欄目：新型勒索軟件Nokoyawa簡析
網(wǎng)站路徑：http://www.dlmjj.cn/article/ccsoeeg.html