Shade Ransomware运营停止运营
最近的一份报告指出,Shade操作员将终止其所有操作。有了这个,自2014年以来运行时间最长的勒索软件压力(安全研究人员检测到变体对受害人的数据进行加密时)便告一段落。从那时起,犯罪分子的团伙一直很活跃,竞选活动以相当稳定的速度进行。他们的活动随着公告而跌落悬崖:
“我们是一个团队,他们创建了一个特洛伊木马加密程序,通常被称为Shade,Troldesh或Encoder.858。实际上,我们已在2019年底停止分发它。现在,我们决定在这个故事中讲最后一点,并发布我们拥有的所有解密密钥(总共超过750,000个)。我们还将发布解密软件。我们还希望,有了密钥,防病毒公司将发布自己的更加用户友好的解密工具。与我们的活动有关的所有其他数据(包括特洛伊木马的源代码)均被不可撤消地销毁。我们向特洛伊木马的所有受害者表示歉意,并希望我们发布的密钥能够帮助他们恢复数据。”
Gang于2019年加入GitHub进行发布。此消息确认该团伙释放了约75万个解密密钥,以帮助受害者取回文件。他们这样做是出于真诚。卡巴斯基实验室研究员Sergey Golovanov已经验证了这些密钥。安全公司现在正在开发一种解密工具,它将使解密过程变得更加容易。关于何时发布此工具的数据,目前尚无任何公告,但是可以预见,它将在不久的将来提供。卡巴斯基实验室(Kaspersky Labs)在发布多个解密工具时具有与Shade打交道的经验。
虽然该工具的发布可以看作是一种真诚的行为,但确实存在一些警告。确实,该工具的发布将帮助许多受害者访问由勒索软件加密的数据。该工具的此发行版协助卡巴斯基创建了很多必要的解密程序。
如引言中前面所述,阴影勒索软件的故事始于2014年。该团伙通过使用垃圾邮件活动和漏洞利用工具包进行分发。从卡巴斯基和其他安全公司开发的多个解密程序可以看出,这并不是一个完美的选择。第一种分配方法是Avast发现的。该事件发生在2019年6月,当时安全公司能够阻止100,000个勒索软件实例,被追踪为Troldesh。该活动针对美国,英国和德国的个人。但是,到目前为止,发现最多的是俄罗斯和墨西哥。 Avast指出,勒索软件是通过垃圾邮件传播的,恶意软件实例是通过社交媒体和消息传递平台分发的。他们进一步注意到:
“我们看到其攻击次数激增,这可能与Troldesh运营商试图比任何形式的重要代码更新更努力,更有效地推动这种压力更为相关。 Troldesh多年来一直在野外传播,成千上万的受害者拥有被勒索的文件,并且可能会在一段时间内盛行。
MalwareBytes分析了第二个活动。他们在处理检测高峰时就这样做了,该检测始于2018年底,一直持续到2019年第一季度的一半。活动的高峰似乎是勒索软件帮派开始放慢分发速度,有利于分发其他恶意软件例如加密货币矿工。
同样,勒索软件是通过将恶意软件的恶意代码作为垃圾邮件附件附加在某个文件中进行传播的。该文件通常是zip文件(如果打开的话)-它提取了一个包含勒索软件有效载荷的JavaScript文件。一旦执行,感染将从文件加密开始,并以某些扩展名附加文件。随后出现一个.txt文件,其中附有一条有关如何支付赎金以便解密文件的说明。研究人员指出:
Troldesh的受害者获得了唯一的代码,电子邮件地址和洋葱地址的URL。要求他们联系提及其代码的电子邮件地址,或访问洋葱站点以获取进一步的说明。不建议支付赎金的作者,因为您将资助他们的下一波攻击。 Troldesh与其他勒索软件变种的不同之处在于,大量的readme#.txt文件的赎金字样丢在了受影响的系统上,并且通过电子邮件与威胁执行者进行了联系。否则,它将采用经典的攻击媒介,该媒介在很大程度上依赖于欺骗无知的受害者。但是,它在过去和当前的攻击浪潮中都取得了很大的成功。可用的免费解密器仅适用于一些较旧的版本,因此受害者可能不得不依靠备份或回滚功能。”
尽管一个帮派决定停止所有行动,但对于许多人来说,却是一切照旧。因此,您不应放松警惕。微软的威胁防护情报团队已经发出警告,这次攻击者没有威胁要公开发布数据,这并不意味着他们没有窃取数据。他们进一步指出:
“多个勒索软件团体在目标网络上积累了访问并保持了几个月的持久性,在2020年4月的前两周激活了数十个勒索软件部署。到目前为止,攻击已影响到援助组织,医疗账单公司,制造,运输,政府机构和教育软件提供商表明,尽管存在全球危机,但这些勒索软件组很少考虑它们所影响的关键服务。但是,这些攻击不仅限于关键服务,因此组织应保持警惕,以防出现破坏迹象。”
您应该防御勒索软件帮派沦为受害者。 Microsoft建议网络管理员搜索PowerShell,Cobalt Strike和其他渗透测试工具。他们还应寻找对本地安全机构子系统服务的可疑访问和可疑的注册表修改,以及篡改安全日志的证据。这些建议是由于存在以下漏洞:
- 不带多因素身份验证的RDP或虚拟桌面终端
- 受CVE-2020-0688影响的Microsoft Exchange服务器
- 受CVE-2020-10189影响的Zoho ManageEngine系统
- 受CVE-2019-19781影响的Citrix ADC系统
- 受CVE-2019-11510影响的Pulse Secure VPN系统
- 受CVE-2019-0604影响的Microsoft SharePoint服务器