Rook 的新型勒索軟件基於 Babuk 源代碼
哨兵一號專家 發現了 一個新的勒索軟件 Rook, 這似乎是基於長期洩露的 Babuk 勒索軟件的源代碼.
惡意軟件負載通常通過 鈷罷工, 使用網絡釣魚電子郵件和盜版種子作為初始感染媒介. 為了更多的隱身, 車 有效載荷使用 UPX 或其他加密方式打包.
推出時, 勒索軟件試圖終止與安全機製或其他可能也會中斷加密的事物相關的任何進程.
有趣的是, 在某些情況下,Process Hacker 的 kph.sys 驅動程序會在進程關閉時發揮作用, 但在其他人中它沒有. 這似乎是由於攻擊者需要使用驅動程序為某些操作禁用某些本地安全解決方案.專家說.
報告還指出,Rook 使用 vssadmin.exe 刪除卷影副本.
迄今為止, 研究人員尚未在系統上發現任何固定機制, 所以 Rook 通過向文件添加 .Rook 擴展名來加密文件, 然後從受感染的機器中刪除自己.
研究人員寫道,他們注意到 Rook 和 巴布克, 其源代碼於 2017 年秋季在俄語論壇上發布 2021. 例如, Rook 使用相同的 API 調用來獲取每個正在運行的服務的名稱和狀態, 和殺死他們的相同功能. 此外, 兩種勒索軟件消除的 Windows 進程和服務列表相同 (包含: 蒸汽, 微軟 Office 和 Outlook 電子郵件客戶端, 也 Mozilla的 火狐和雷鳥). 結果是, 哨兵一號 專家得出結論,Rook 基於 Babuk 源代碼.
車 “洩漏點” 已經公佈了兩名受害者的數據: 一家銀行和一家從事航空航天業的印度公司. 本月添加了來自兩名受害者的信息, 這意味著該小組似乎才剛剛開始.
讓我提醒你,我們是這樣寫的 音樂會 勒索軟件攻擊 Minecraft 服務器, 以及該 研究人員發現 阿爾法 用 Rust 編寫的勒索軟件.
