威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

威胁Xin解析 | 当心,Royal勒索软件正通过流量广告持续传播
发布时间 :2023年01月12日
分享:

近日,威尼斯432888cam监测到Royal 勒索软件异常活跃,对医疗系统似乎格外“偏爱”的同时,持续通过第三方网站、垃圾邮件附件、恶意广告、后门程序以及虚假安装程序等方式传播,给受害者带来金钱和声誉上的双重损失。


关于Royal


Royal 勒索软件最早于 2022 年 9 月首次被发现,其经历了多次迭代更新。有研究人员发现,Royal 勒索软件最初使用的是其他勒索家族(如 BlackCat)的加密器,但他们很快转向使用自己的加密器,其中,Zeon是该组织使用自己的加密器生成的第一个勒索家族,该家族的勒索信与Conti 勒索家族类似。Royal 勒索软件家族会在伪装成合法的下载网站以及 GitHub 和 OneDrive 等合法网站上托管虚假安装程序文件,并将恶意广告通过推广服务有效融入正常的广告流量,诱导受害者下载运行。


Royal的攻击流程


Royal 勒索软件通过伪装成合法的应用程序,诱导受害者下载运行它,作为勒索软件传播的接入点。该勒索软件程序支持命令行参数,"-path"参数用于加密指定目录下的文件,"-id"参数用于标识用户计算机,但无论是否提供了任何一个参数,都会删除卷影副本防止受害者恢复备份。在加密过程中,该勒索使用了 OpenSSL 库,通过 BCryptGenRandom 函数生成随机密钥,并混合使用了AES 和 RSA 算法,使用 AES 算法对文件数据进行加密,并将加密后的数据写入文件中,然后使用 RSA 公钥对随机生成的加密密钥进行加密,并在加密文件尾部写入被加密过的密钥,最后在文件夹中留下勒索信息说明文件。


5-2.jpg

【Royal 勒索软件攻击流程图】



威尼斯432888cam产品解决方案


  • 威尼斯432888cam传统病毒码版本17.895.60,云病毒码版本17.895.71,全球码版本17.895.00,已经可以检测,请用户及时升级病毒码版本;


5-3.png


  • 威尼斯432888cam OSCE 恶意行为监控可有效拦截该样本的恶意行为。


5-4.png


  • 威尼斯432888camDDAN沙盒平台可以有效检测出该家族勒索样本的行为。


5-5.png




安全建议


  • 全面部署安全产品,保持相关组件及时更新;

  • 不要点击来源不明的邮件以及附件;

  • 不要点击来源不明的邮件中包含的链接;

  • 请到正规网站或者应用商店下载程序;

  • 对下载的程序在使用前进行安全性验证;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本用两种不同格式保存,并将副本放在异地存储。



分享到微信
X