[[376158]]

新年剛過沒幾天，人們就發(fā)現(xiàn)了2021年的第一批新型勒索軟件。根據(jù)最新的研究，到目前為止，一個名為Babuk Locker的勒索軟件似乎已經(jīng)成功入侵了五家公司。

研究人員是佐治亞理工學院的計算機科學學生Chuong Dong，他說，他是在推特上一位名叫 "Arkbird "的安全研究人員的推文中第一次看到這個勒索軟件的。隨后，他在一個分享漏洞和泄密數(shù)據(jù)庫的論壇RaidForums上發(fā)現(xiàn)了Babuk的相關信息。

Dong表示，根據(jù)Babuk勒索說明中提到的網(wǎng)站，以及RaidForums泄露的有關信息，可以證明該勒索軟件已經(jīng)成功入侵了全球五家不同的公司。根據(jù)BleepingComputer的報告，這些受害公司其中至少有一家已經(jīng)同意支付8.5萬美元的贖金。

Dong說：

• 雖然Babuk有很多不成熟的攻擊特性，但它也有非常多新穎的技巧，特別是在加密和利用Windows功能方面。

Dong在本周的分析中說：

• Babuk是一種新型的勒索軟件，始于今年年初，盡管采用了很不規(guī)范的編碼手法，但其利用橢圓曲線Diffie-Hellman算法的強加密方案，從目前的結果來看，確實是對很多公司的攻擊是有效的。

Babuk的特征

該勒索軟件是以32位.EXE文件的形式出現(xiàn)的，很明顯它沒有做混淆加密保護。目前也還不清楚該勒索軟件最初是如何傳播給受害者的。

Dong告訴Threatpost：

• 到目前為止，我們還不知道勒索軟件是如何進入公司的，但很有可能是勒索軟件集團通過網(wǎng)絡釣魚這一途徑實現(xiàn)的。

在被勒索軟件加密前，Babuk中包含的服務和進程列表中所對應的進程和服務都會被關閉。其中包括各種系統(tǒng)監(jiān)控服務，比如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在進程方面，Babuk會終止31個進程，包括sql.exe，oracle.exe和outlook.exe。

Dong向Threatpost解釋說：

• 關閉應用程序對于攻擊來說是很有必要的，因為當勒索軟件運行時，這些應用程序可能會打開文件，如果一個應用程序已經(jīng)打開了一個文件，勒索軟件就不能在次打開它，那么攻擊就會失敗。

加密方式

值得注意的是Babuk采用的加密機制：它在攻擊中使用自己實現(xiàn)的SHA哈希、ChaCha8加密和橢圓曲線Diffie-Hellman(ECDH)密鑰生成交換算法來對文件進行加密，這使得受害者幾乎不可能將文件進行恢復。

Dong說：

由于ECDH的機制，勒索軟件作者可以使用自己的私鑰和受害者的公鑰生成共享秘鑰來解密文件，這使得受害者不可能自行解密文件，除非他們能夠在惡意軟件完成加密之前找到生成的隨機私鑰。

Sophos研究人員表示：

Babuk還使用了多線程。為了能讓進程并行執(zhí)行，提高系統(tǒng)利用率，許多計算機中都包含一個或多個多核的CPU。像Babuk這樣可以利用多線程的勒索軟件，能夠將單個任務并行化，以確保在受害者發(fā)現(xiàn)他們受到攻擊之前，可以造成更大的破壞。

不過，Dong表示，該勒索軟件的"多線程方法非常簡單"。

他說，首先，它的多線程進程會使用遞歸來遍歷文件。這個過程會從最高目錄(例如C://驅動器)的一個線程開始，在主加密功能中，程序將遍歷父目錄中的每一個項目。如果找到了一個文件，它就會對其進行加密。如果發(fā)現(xiàn)是一個新的目錄，這個過程將以該目錄為父目錄再次調用主加密函數(shù)，然后遍歷該文件夾。這個過程會持續(xù)多層，直到Babuk遍歷了每一個文件夾和文件。

Dong告訴Threatpost：

• 這是勒索軟件的基本操作方法，那些開發(fā)惡意軟件的人通常會使用這個方法，這個想法雖然很好，但要考慮到一個正常系統(tǒng)中至少有10000個文件，這又是一個很大的工作量。

勒索軟件要產(chǎn)生的線程數(shù)量通常是將受害者機器上的核心數(shù)量增加一倍，然后再分配一個數(shù)組來存儲所有的線程句柄。

Dong說：

每個進程都有可能創(chuàng)建大量的線程，然而，在理想的情況下，每個處理器最好只運行一個線程，以避免在加密過程中，線程之間相互競爭處理器的時間和資源。

Dong補充說，相比之下，Conti勒索軟件就正確地利用了多線程方法，它使每個處理器核心運行一個線程。它的加密速度非常快，只需不到30秒就可以加密C://驅動器。

Windows Restart Manager

Babuk還利用了微軟的Windows Restart Manager功能，它能使用戶關閉和重啟所有應用程序和服務。勒索軟件利用的這一功能可以終止任何正在使用文件進程。Dong表示，這可以確保沒有任何東西能阻止惡意軟件加密文件。

此前，其他常見的勒索軟件也曾利用過Windows Restart Manager，包括Conti勒索軟件(在2020年7月的一次攻擊中被發(fā)現(xiàn))和REvil勒索軟件(在2020年5月的新版本中被發(fā)現(xiàn))。

一旦所有文件被加密，Babuk的勒索信息就告訴受害者他們的計算機和服務器已經(jīng)被加密，并要求受害者使用Tor瀏覽器與他們聯(lián)系。

Tripwire安全研究高級總監(jiān)Lamar Bailey在一封電子郵件中說：

• 然而，如果受害者打算支付贖金，他們必須要在聊天過程中上傳文件，以便讓黑客解密文件，我預計解密的失敗率會相當高。他們會賺錢嗎?當然會。但就像許多社會潮流一樣，過不了幾個月就不流行了，他們并不會長期的獲取大量資金。

新的勒索軟件是在勒索軟件攻擊持續(xù)上升的情況下出現(xiàn)的。自2018年以來，勒索軟件攻擊數(shù)量猛增了350%。在過去的一年里，醫(yī)療系統(tǒng)受到勒索軟件攻擊的情況尤為嚴重，最近的一份報告稱，自11月份以來，針對醫(yī)療機構的網(wǎng)絡攻擊增加了45%。

本文翻譯自： https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如若轉載，請注明原文地址。