一项名为“Lilith”的新勒索软件行动已经启动,并且已经在为支持双重勒索攻击而创建的数据泄漏网站上发布了第一个受害者。
Lilith是一种基于C / C++控制台的勒索软件,由JAMESWT发现,专为64位版本的Windows而设计。与今天启动的大多数勒索软件操作一样,Lilith执行双重勒索攻击,即威胁行为者在加密设备之前窃取数据。
根据Cyble的研究人员分析Lilith的一份报告,这个新家庭并没有引入任何新奇事物。然而,这是需要注意的最新威胁之一,以及最近出现的RedAlert和0mega。
执行后,Lilith 会尝试终止与硬编码列表中的条目匹配的进程,包括 Outlook、SQL、Thunderbird、Steam、PowerPoint、写字板、Firefox 等。
这从当前可能正在使用它们的应用程序中释放有价值的文件,从而使它们可用于加密。
在启动加密过程之前,Lilith 会在所有枚举的文件夹上创建并删除赎金记录。
该说明为受害者提供了三天的时间,可以在提供的Tox聊天地址上与勒索软件参与者联系,否则他们将受到公开数据暴露的威胁。
从加密中排除的文件类型是 EXE、DLL 和 SYS,而程序文件、Web 浏览器和回收站文件夹也会被绕过。
有趣的是,Lilith还包含“ecdh_pub_k.bin”的排除项,该排除项存储BABUK勒索软件感染的本地公钥。
这可能是复制代码的残余物,因此它可能表明两种勒索软件株之间存在联系。
最后,加密使用Windows加密API进行,而Windows的CryptGenRandom函数生成随机密钥。
勒索软件在加密文件时会附加“.lilith”文件扩展名,如下所示。
虽然现在判断Lilith是否会发展成为大规模威胁或成功的RaaS计划还为时过早,但这是分析师应该关注的事情。它的第一个受害者是位于南美洲的一个大型建筑集团。
| 留言与评论(共有 0 条评论) “” |
