一新發(fā)現(xiàn)的勒索軟件家族通過勒索軟件即服務(wù)(RaaS)商業(yè)模式提供，讓網(wǎng)絡(luò)罪犯?jìng)兊靡暂p松定制自己的惡意軟件。

該勒索軟件家族由安全研究員Xylitol發(fā)現(xiàn)，命名為“撒旦(Satan)”，由于只需創(chuàng)建賬號(hào)即可使用，任何有意的罪犯都能用。勒索收益僅需給作者抽成30%，讓該RaaS頗具吸引力。

事實(shí)上，該RaaS有意讓使用者不用投入太多精力，因?yàn)樗鼤?huì)處理贖金支付和新功能的添加。不過，成為會(huì)員得收點(diǎn)發(fā)行費(fèi)，但開發(fā)者宣稱，成功的案例會(huì)獎(jiǎng)勵(lì)更高的贖金支付提成。

“撒旦”RaaS站點(diǎn)的歡迎頁面上寫有該服務(wù)的說明，注冊(cè)用戶能訪問一個(gè)控制臺(tái)，通過多個(gè)頁面設(shè)置他們自己的勒索軟件。這些設(shè)置頁面包括：惡意軟件、釋放器、翻譯、賬戶、通知和消息。

“惡意軟件”頁面上，屬意罪犯可自定義他們自己的勒索軟件：設(shè)定贖金數(shù)額、贖金保持不變的天數(shù)、過期增長(zhǎng)率?！搬尫牌鳌表撁孑o助會(huì)員打造惡意微軟Word宏或CHM安裝程序，通過垃圾郵件或其他方式投送惡意軟件。

會(huì)員可在“翻譯”頁面擴(kuò)展用于勒索信的語言，在“賬戶”頁面跟蹤被感染受害者的數(shù)量、已支付數(shù)和其他信息?！巴ㄖ表撁嬗糜陲@示來自RaaS開發(fā)者的消息，而“消息”頁面則是為“客戶服務(wù)”請(qǐng)求所設(shè)。

“撒旦”運(yùn)營(yíng)者會(huì)專門要求會(huì)員不要與VirusTotal共享下載勒索軟件樣本，降低安全廠商遇到該變種的可能性。該服務(wù)目前在地下論壇上打廣告，惡意載荷和盈利模式都有介紹。

為規(guī)避分析，“撒旦”勒索軟件內(nèi)置了很多虛擬化檢查，只要覺得自身運(yùn)行在虛擬機(jī)里，立馬終止進(jìn)程。如果檢查通過，該惡意軟件會(huì)將自身注射進(jìn)TaskHost.exe進(jìn)程，然后開始加密被感染計(jì)算機(jī)上的文件。

該勒索軟件目前針對(duì)350多種文件類型，安全研究人員還在分析其加密算法。他們現(xiàn)在所知道的，是該惡意軟件會(huì)在被加密文件的文件名后添加上.stn后綴，而不是在編碼該文件名之前。

加密過程中，“撒旦”會(huì)在每個(gè)包含有被加密文件的文件夾中，釋放出一個(gè)名為“HELP_DECRYPT_FILES.html”的勒索信。加密完所有文件后，它會(huì)運(yùn)行cipher.exe程序，清除C盤上未使用空間的所有數(shù)據(jù)。

“撒旦”的勒索信包含有唯一的受害者ID和一條通向TOR匿名支付站點(diǎn)的URL，以及用戶恢復(fù)被加密文件應(yīng)遵循的指令。勒索信還宣稱使用了AES-256和RSA-2048加密算法，不過，這一點(diǎn)尚有待證實(shí)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。