Rook 的新型勒索软件基于 Babuk 源代码
哨兵一号专家 发现了 一个新的勒索软件 Rook, 这似乎是基于长期泄露的 Babuk 勒索软件的源代码.
恶意软件负载通常通过 钴罢工, 使用网络钓鱼电子邮件和盗版种子作为初始感染媒介. 为了更多的隐身, 车 有效载荷使用 UPX 或其他加密方式打包.
推出时, 勒索软件试图终止与安全机制或其他可能也会中断加密的事物相关的任何进程.
有趣的是, 在某些情况下,Process Hacker 的 kph.sys 驱动程序会在进程关闭时发挥作用, 但在其他人中它没有. 这似乎是由于攻击者需要使用驱动程序为某些操作禁用某些本地安全解决方案.专家说.
报告还指出,Rook 使用 vssadmin.exe 删除卷影副本.
迄今为止, 研究人员尚未在系统上发现任何固定机制, 所以 Rook 通过向文件添加 .Rook 扩展名来加密文件, 然后从受感染的机器中删除自己.
研究人员写道,他们注意到 Rook 和 巴布克, 其源代码于 2017 年秋季在俄语论坛上发布 2021. 例如, Rook 使用相同的 API 调用来获取每个正在运行的服务的名称和状态, 和杀死他们的相同功能. 此外, 两种勒索软件消除的 Windows 进程和服务列表相同 (包含: 蒸汽, 微软 Office 和 Outlook 电子邮件客户端, 也 Mozilla的 火狐和雷鸟). 其结果, 哨兵一号 专家得出结论,Rook 基于 Babuk 源代码.
车 “泄漏点” 已经公布了两名受害者的数据: 一家银行和一家从事航空航天业的印度公司. 本月添加了来自两名受害者的信息, 这意味着该小组似乎才刚刚开始.
让我提醒你,我们是这样写的 音乐会 勒索软件攻击 Minecraft 服务器, 以及该 研究人员发现 阿尔法 用 Rust 编写的勒索软件.
