CyberVolk 勒索软件于 2024 年 5 月首次出现,并迅速演变为针对被视为对俄罗斯利益怀有敌意的国家的政府机构和关键基础设施的复杂威胁。
该恶意软件利用双层对称加密过程,对日本、法国和英国的科学机构和公共服务造成了严重的运营中断。
攻击背后的组织仅通过Telegram进行通信,要求支付价值 20,000 美元的比特币,并警告说,任何恢复加密文件的尝试都将导致数据被破坏。
初始感染通常通过有针对性的网络钓鱼活动或泄露的管理凭证发生,从而允许勒索软件在标准用户权限下执行,然后以提升的权限重新启动。
ASEC 分析师发现,一旦获得管理访问权限,恶意软件就会通过匹配预定义的路径字符串(例如“Windows”和“Program Files”)系统地排除系统关键目录和文件。
这种排除确保了基本系统组件保持完好,防止了可能阻碍赎金谈判的意外系统崩溃。
ASEC 研究人员注意到该恶意软件独特的双重加密结构,将 GCM 模式的 AES-256 与 ChaCha20-Poly1305 相结合以保护每个文件的安全。
每次加密操作都会生成一个 12 字节的随机数,但关键的是,这个随机数不会保留在加密文件的元数据中,因此如果没有原始密钥,解密几乎不可能。
加密完成后,CyberVolk 会在受影响的目录中创建一个名为 READMENOW.txt 的勒索信,指导受害者进行付款和解密程序。
尽管 CyberVolk 勒索软件技术非常复杂,但它的解密程序中却存在一个故意的缺陷。
当受害者输入提供的解密密钥时,恶意软件会尝试使用不正确的随机数解密 ChaCha20-Poly1305 层,导致即使使用有效密钥,该过程也会失败。
这种“伪装解密”策略误导受害者相信他们可以通过付款来恢复数据,而实际上,由于没有原始随机数,恢复是不可行的。
深入探究感染机制
执行时,CyberVolk 会检查其权限,并在必要时触发权限提升例程以获取管理员权限。
然后,它枚举所有本地驱动器中的文件,过滤掉包含排除表中定义的子字符串的路径。
核心加密例程将每个文件读入内存并调用基于 Go 的crypto_aes_NewCipher函数,然后crypto_cipher_NewGCM执行 AES-256 GCM 加密:-
v15 = crypto_aes_NewCipher(keyPtr, 32, 32, 0, a5, ...)
v76 = crypto_cipher_NewGCM(v15, 32, ..., a5, ...)
nonce := make([]byte, v76.NonceSize())
crypto_rand_Read(nonce, v76.NonceSize(), ...)
ciphertext := v76.Seal(nil, nonce, fileData, nil)随后,该密文用 ChaCha20-Poly1305 包装,产生仅由加密数据和身份验证标签组成的紧凑有效载荷。
通过省略存储的有效负载中的随机数,开发人员保证只有他们可以执行有效的解密 – 尽管他们自己的有缺陷的实现甚至阻止他们在没有手动随机数管理的情况下恢复文件。
定制的感染程序,结合复杂的加密层和故意的恢复缺陷,凸显了 CyberVolk 最大化运营影响和受害者不确定性的意图。
组织必须实施异地备份、限制管理访问并定期进行恢复演习以减轻此类威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
