新的一年,新的企业勒索软件也已经加入安全网络领域。
Babuk是2021年首个针对企业勒索软件,主要攻击是企业用户,目前已有部分用户被Babuk勒索软件攻击。
Babuk使用了新技术,可以增加多线程加密以及滥用Windows Restart Manager的应用程序,而且Babuk也符合目前勒索软件的“标准”。
Babuk采用SHA256哈希,ChaCha8加密以及椭圆曲线的Diffie-Hellman(ECDH)密钥生成和交换算法的自己实现被用作加密方案,Babuk可以使用或不使用命令行参数。如果未提供任何参数,则仅限于加密本地计算机。
Babuk加密操作使用 RtlGenRandom 生成4个随机缓冲区,其中两个用作ChaCha8密钥,另外两个用作ChaCha8随机数。
然后,Babuk使用第一个密钥和随机数对第二个ChaCha8密钥进行加密,之后,使用加密的第二密钥和随机数对第一密钥进行加密,此加密的第一个密钥被视为本地计算机的椭圆曲线Diffie-Hellman(ECDH)私钥。
最后Babuk使用Github ECDH库中的代码从私钥生成本地ECDH公钥。然后,它使用本地私钥和作者的硬编码公钥生成共享机密。
此共享机密通过SHA256哈希算法生成2个ChaCha8密钥,这些密钥稍后用于加密文件。
为了能够解密文件,Babuk将本地公共密钥存储在
APPDATA文件夹中的文件 ecdh_pub_k.bin中 。由于ECDH的机制,勒索软件作者可以使用其自己的私钥和受害者的公钥来生成共享密钥,以解密文件。Babuk的勒索软件激活后不久,勒索软件将首先杀死已知的Windows服务和进程,以保持文件打开并防止加密。终止的程序包括数据库服务器,邮件服务器,备份软件,邮件客户端和Web浏览器。
然后,Babuk Locker将使用硬编码扩展名,并将其附加到每个加密文件中。
被加密的每个文件都有指向Tor站点的链接,受害者可以在其中与勒索软件操作员进行谈判,而且每次文件发生变化都有详细记录,比如赎金变化等等。
2021年,新的一年应该更加注意新的勒索软件,注意防范上网安全,以免被勒索软件攻击。
