网络安全研究人员公布了一种名为Azov Ransomware的新型擦除器的内部工作原理,该擦除器专门设计用于破坏数据并对受感染的系统“造成无可挑剔的破坏”。
该恶意软件通过另一个名为SmokeLoader的恶意软件加载程序进行分发,被以色列网络安全公司 Check Point 描述为“有效、快速且不幸的是不可恢复的数据擦除器” 。它的起源还有待确定。
擦除程序设置为用随机噪声以交替的 666 字节块覆盖文件内容,这种技术被称为间歇性加密,勒索软件运营商越来越多地利用这种技术来逃避检测并更快地加密受害者的文件。
“Azov 与普通勒索软件的区别在于它修改了某些 64 位可执行文件以执行自己的代码,”威胁研究员 Ji?í Vinopal 说。“可执行文件的修改是使用多态代码完成的,以免被静态签名潜在地破坏。”
Azov Ransomware 还包含一个逻辑炸弹 - 在激活恶意操作之前应满足的一组条件 - 以在预定时间引爆擦除和后门功能的执行。
“虽然 Azov 样本在第一次遇到时被认为是 skidsware [...],但当进一步探索时,人们发现了非常先进的技术——手动制作的程序集,将有效负载注入可执行文件以对其进行后门,以及通常为安全保留的几种反分析技巧教科书或备受瞩目的名牌网络犯罪工具,”Vinopal 补充道。
自今年年初以来,出现了大量破坏性的雨刮器攻击。这包括WhisperGate、HermeticWiper、AcidRain、IsaacWiper、CaddyWiper、Industroyer2、DoubleZero、RURansom和CryWiper。
上周,安全公司 ESET 披露了另一个名为Fantasy的前所未见的擦除器,该擦除器使用针对一家以色列软件公司的供应链攻击来传播,以瞄准钻石行业的客户。该恶意软件已与名为 Agrius 的威胁行为者相关联。
