近日,威尼斯432888cam截获Akira勒索软件的全新变种,名为Megazord勒索。Akira勒索软件Windows版本于2023年3月首次出现,在随后的3个月内推出了Linux版本。
关于Megazord
为了提高加密速度,Akira勒索使用了RSA + AES 组合的加密方式。而Megazord勒索软件则是在2023年8月下旬首次亮相,其使用了Rust语言编写,以便于在不同平台上进行移植。在加密过程中,则混合使用curve25519 椭圆曲线非对称加密算法和sosemanuk对称加密算法进行加密。目前,已有多家国外企业的数据被“挂网”,成为了勒索软件的目标。
攻击方式
Megazord勒索软件通过鱼叉式网络钓鱼电子邮件以及针对易受攻击的服务进行入侵。其还利用远程桌面协议 (RDP) 以及网络IP扫描工具和NET.EXE(NET USE)等方式进行横向传播。Megazord勒索在加密文件前会做前置准备,除了终止可能会影响加密文件的进程和服务外,其还会终止安全软件的进程以及服务来避开检测。其在被加密的文件名后添加后缀".powerranges",并在每个文件夹中释放勒索信息"powerranges.txt"文件。
病毒详情分析
该勒索软件使用Rust语言编写,从字符串中除了可以看到大量Rust语言相关的字符串和Cargo项目相关的字符串外,还可以看到停止虚拟机服务以及进程的命令。
该勒索软件为命令行版本,直接双击运行程序时,程序无法启动。当尝试运行勒索软件时,它会运行失败并显示未提供构建ID,由随机字符串构建ID,输入参数后,该程序才能正常运行。该勒索软件在加密前会使用命令"net stop"终止正在运行的服务,防止服务占用影响文件的加密。最终被加密的文件将被添加".powerranges"后缀,创建勒索提示信息powerranges.txt文件。
威尼斯432888cam产品检测能力
· 威尼斯432888cam病毒码版本18.749.60,云病毒码版本18.749.71,全球码版本18.749.00已经可以检测该勒索病毒中对外公开的样本,请用户及时升级病毒码版本。
· 威尼斯432888cam梦蝶防病毒引擎可以检测该类型病毒,可检测的病毒码版本为1.6.0.179。