新的一年,新的企業勒索軟件也已經加入安全網絡領域。
Babuk是2021年首個針對企業勒索軟件,主要攻擊是企業用戶,目前已有部分用戶被Babuk勒索軟件攻擊。
Babuk使用了新技術,可以增加多線程加密以及濫用Windows Restart Manager的應用程序,而且Babuk也符合目前勒索軟件的“標準”。
Babuk採用SHA256哈希,ChaCha8加密以及橢圓曲線的Diffie-Hellman(ECDH)密鑰生成和交換算法的自己實現被用作加密方案,Babuk可以使用或不使用命令行參數。如果未提供任何參數,則僅限於加密本地計算機。
Babuk加密操作使用 RtlGenRandom 生成4個隨機緩衝區,其中兩個用作ChaCha8密鑰,另外兩個用作ChaCha8隨機數。
然後,Babuk使用第一個密鑰和隨機數對第二個ChaCha8密鑰進行加密,之後,使用加密的第二密鑰和隨機數對第一密鑰進行加密,此加密的第一個密鑰被視為本地計算機的橢圓曲線Diffie-Hellman(ECDH)私鑰。
最後Babuk使用Github ECDH庫中的代碼從私鑰生成本地ECDH公鑰。然後,它使用本地私鑰和作者的硬編碼公鑰生成共享機密。
此共享機密通過SHA256哈希算法生成2個ChaCha8密鑰,這些密鑰稍後用於加密文件。
為了能夠解密文件,Babuk將本地公共密鑰存儲在
APPDATA文件夾中的文件 ecdh_pub_k.bin中 。由於ECDH的機制,勒索軟件作者可以使用其自己的私鑰和受害者的公鑰來生成共享密鑰,以解密文件。Babuk的勒索軟件激活後不久,勒索軟件將首先殺死已知的Windows服務和進程,以保持文件打開並防止加密。終止的程序包括數據庫服務器,郵件服務器,備份軟件,郵件客戶端和Web瀏覽器。
然後,Babuk Locker將使用硬編碼擴展名,並將其附加到每個加密文件中。
被加密的每個文件都有指向Tor站點的鏈接,受害者可以在其中與勒索軟件操作員進行談判,而且每次文件發生變化都有詳細記錄,比如贖金變化等等。
2021年,新的一年應該更加註意新的勒索軟件,注意防範上網安全,以免被勒索軟件攻擊。
