據(jù)Bleeping Computer網(wǎng)站5月25日消息,一種名為“Cheers”的新型勒索軟件出現(xiàn)在網(wǎng)絡(luò)犯罪領(lǐng)域,目標是針對易受攻擊的 VMware ESXi 服務(wù)器。VMware ESXi 是全球大型組織普遍使用的虛擬化平臺,因此對其進行加密通常會嚴重破壞企業(yè)的運營。近期已有多個針對 VMware ESXi 平臺的勒索軟件組,包括 LockBit 和 Hive。而Cheers 勒索軟件由趨勢科技最新發(fā)現(xiàn),并將新變種稱為“Cheerscrypt”。
當Cheers攻擊VMware ESXi 服務(wù)器時,會啟動加密器,它會自動枚舉正在運行的虛擬機并使用以下 esxcli 命令將其關(guān)閉:
esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)
在加密文件時,Cheers會專門尋找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 擴展名的文件。這些文件擴展名與 ESXi 快照、日志文件、交換文件、頁面文件和虛擬磁盤相關(guān)聯(lián)。每個加密文件都會在其文件名后附加“ .Cheers ”擴展名,但文件重命名發(fā)生在加密之前,所以如果重命名文件的訪問權(quán)限被拒絕,加密會失敗,但文件仍然會被重命名。
加密方案使用一對公鑰和私鑰來派生一個秘密(SOSEMANUK 流密碼)密鑰并將其嵌入每個加密文件中。用于生成密鑰的私鑰被擦除以防止恢復(fù)。
在掃描文件夾以查找要加密的文件時,勒索軟件將在每個文件夾中創(chuàng)建名為“ How To Restore Your Files.txt ”的勒索記錄。這些贖金記錄包括有關(guān)受害者被加密文件情況的信息、Tor 數(shù)據(jù)泄露站點和贖金繳納站點的鏈接。每個受害者都有一個唯一的 Tor 站點,但數(shù)據(jù)泄露站點 Onion URL 是靜態(tài)的。
根據(jù) Bleeping Computer 的研究,Cheers似乎于 2022 年 3 月開始運作,雖然迄今為止只發(fā)現(xiàn)了 Linux 勒索軟件版本,但不排除也存在針對Windows系統(tǒng)的變體。
Bleeping Computer 發(fā)現(xiàn)了 Cheers的數(shù)據(jù)泄露和受害者勒索 Onion 網(wǎng)站,該網(wǎng)站目前僅列出了四名受害者。但該門戶的存在表明 Cheers 在攻擊期間執(zhí)行數(shù)據(jù)泄露,并將被盜數(shù)據(jù)用于雙重勒索攻擊。
通過觀察,這些受害者都是比較大型的企業(yè)組織,似乎目前的新型勒索軟件組織更青睞于這些“大目標”以滿足勒索需求。
根據(jù)調(diào)查贖金記錄,攻擊者給受害者三天的時間來登錄提供的 Tor 站點以協(xié)商贖金支付,從而換取有效的解密密鑰。如果受害者不支付贖金,攻擊者表示他們會將被盜數(shù)據(jù)出售給其他同行,給受害者帶來更大威脅和損失。
當?shù)貢r間3月21日,聯(lián)合國大會一致通過了全球第一個關(guān)于人工智
近日,研究人員了披露了一個有關(guān) Saflok 電子 RFID
Gartner于2022年首次發(fā)布《2022年中國安全技術(shù)成
近期國務(wù)院學位委員會、教育部印發(fā)通知,發(fā)布《研究生教育學科
國內(nèi)證監(jiān)會發(fā)布《證券期貨業(yè)數(shù)據(jù)安全管理與保護指引》等7項金融
029-63648670
zoyink@zoyink.com
關(guān)注
官方微信