出现了一种名为“Dark Power”的新勒索软件操作,它已经在一个暗网数据泄露网站上列出了第一批受害者,并威胁说如果不支付赎金就公布数据。

勒索软件团伙的加密器的编译日期是 2023 年 1 月 29 日,即攻击开始的时间。

此外,该操作尚未在任何黑客论坛或暗网空间上推广;因此它可能是一个私人项目。

据分析 Dark Power 的 Trellix 称,这是一种针对全球组织的机会主义勒索软件操作,要求支付相对较小的 1万美元赎金。

Dark Power攻击细节

Dark Power 有效载荷是用 Nim 编写的,Nim 是一种跨平台编程语言,具有多个与速度相关的优势,使其适用于性能关键型应用程序,如勒索软件。

此外,由于 Nim 现在才开始在网络犯罪分子中越来越受欢迎,它通常被认为是不太可能被防御工具检测到的利基选择。

Trellix 没有提供有关 Dark Power 感染点的详细信息,但它可能是一种利用、网络钓鱼电子邮件或其他方式。

执行时,勒索软件会创建一个随机的 64 个字符长的 ASCII 字符串,用于在每次执行时使用唯一密钥初始化加密算法。

接下来,勒索软件会终止受害者机器上的特定服务和进程,以释放文件进行加密,并最大限度地减少任何阻止文件锁定进程的可能性。

在此阶段,勒索软件还会停止其硬编码列表中的卷影复制服务 (VSS)、数据备份服务和反恶意软件产品。

终止的进程和服务

杀死上述所有服务后,勒索病毒会休眠30秒,并清除控制台和Windows系统日志,以防止数据恢复专家分析。

加密使用 AES(CRT 模式)和启动时生成的 ASCII 字符串。生成的文件被重命名为“.dark_power”扩展名。

有趣的是,该勒索软件有两个版本在野外流传,每个版本都有不同的加密密钥方案。

第一个变体使用 SHA-256 算法对 ASCII 字符串进行哈希处理,然后将结果分成两半,使用第一部分作为 AES 密钥,第二部分作为初始化向量 (nonce)。

第二种变体使用 SHA-256 摘要作为 AES 密钥,并使用固定的 128 位值作为加密随机数。

DLL、LIB、INI、CDM、LNK、BIN 和 MSI 等系统关键文件,以及程序文件和网络浏览器文件夹,都被排除在加密之外,以保持受感染计算机的运行,从而使受害者能够查看赎金注意并联系攻击者。

从加密中排除的文件和文件夹

赎金票据最后一次修改是在 2023 年 2 月 9 日,它给受害者 72 小时的时间将 1万美元的 XMR(门罗币)发送到提供的钱包地址,以获得可用的解密器。

与其他勒索软件操作相比,Dark Power 的赎金记录很突出,因为它是一个 8 页的 PDF 文档,其中包含有关发生的事情以及如何通过 qTox 信使联系他们的信息。

赎金票据的第一页

受害者与活动

撰写本文时,Dark Power 的 Tor 站点处于离线状态。然而,随着与受害者谈判的深入,勒索软件门户定期离线的情况并不少见。

Trellix 报告说,它已经看到来自美国、法国、以色列、土耳其、捷克共和国、阿尔及利亚、埃及和秘鲁的十名受害者,因此目标范围是全球性的。

Dark Power 的受害者勒索页面

Dark Power 组织声称从这些组织的网络中窃取了数据,并威胁说如果他们不支付赎金,就会公布这些数据,所以它又是一个双重勒索组织。

新的勒索软件在第一个月就有十名受害者相关推荐

  1. 宏碁再次遭遇勒索病毒攻击、谷歌分析8000万个勒索软件样本|10月15日全球网络安全热点

    安全资讯报告 MyKings僵尸网络仍然活跃并赚取大量资金 MyKings僵尸网络(又名Smominru或DarkCloud)仍在积极传播,在它首次出现在野外五年后,通过加密货币赚取了大量资金. 作为 ...

  2. 小鹏汽车9月总交付10412台 成为新造车势力中第一家月交付过万的企业

    10月1日消息,小鹏汽车在其官方微博宣布,9月总交付10,412台,其中小鹏P7交付7,512台,累计交付量超过5万台.7-9月累计交付量25,666台,单季度交付量接近2020年全年的交付量.今年前 ...

  3. 新成立公司的会计第一个月要做什么?

    新成立公司的会计第一个月应该做什么?从事新成立公司的财务工作者,工作第一个月肯定要处理很多问题. 1.到新成立公司的会计人员要考虑的第一件事是什么? 答:首先要考虑建立健全各项财务规章制度:然后,考虑 ...

  4. 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

    原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...

  5. ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播

    最近ESET研究人员发现了一个新的Android勒索软件家族,它们试图通过向受害者的手机的联系人列表发送恶意短信继续传播. 在Android勒索软件遭遇两年的衰退之后,一个新的Android勒索软件家 ...

  6. 伊朗加油站遭网络攻击致瘫痪、Babuk勒索软件源代码泄露|10月28日全球网络安全热点

    安全资讯报告 电子邮件泄露事件致英国公司损失1.4亿英镑 根据英国国家经济犯罪中心(NECC)的最新数据,在过去12个月中,报告的商业电子邮件泄露(BEC)事件已达到4600起,给个人和企业造成了1. ...

  7. 新的RA Group勒索软件针对美国组织进行双重勒索攻击

    一个名为"RA Group"的新勒索软件组织针对美国和韩国的制药.保险.财富管理和制造公司. 新的勒索软件行动始于 2023 年 4 月,当时他们在暗网上启动了一个数据泄露站点,以 ...

  8. 安全预警:勒索软件正成为制马人的新方向

    360手机卫士 · 2016/05/17 15:12 0x00 引言 4月份360 移动安全团队发布的<Android勒索软件研究报告>详细揭露了目前国内Android勒索软件黑色产业链情 ...

  9. 第一百二十四期:2019年臭名昭著的勒索软件,网络钓鱼和僵尸网络

    Webroot发布了年度恶意软件列表,展示了2019年最臭名昭著的网络安全威胁.从攻击次数最多的勒索软件和加密挖矿,到破坏最大的网络钓鱼攻击,显然,全球网络威胁正在变得更为先进且难以预测. 作者:ki ...

最新文章

  1. C++列表初始化容器
  2. 多进程的一些注意事项
  3. Windows XP下屏蔽Ctrl_Alt_Del键的方法
  4. vue cli 4 多环境_Vue 前端uni-app多环境配置部署服务器的问题
  5. 今日代码(200714)--主客观求指标权重及求城市得分
  6. 到底是谁发明了物联网?
  7. oracle备份密码文件,[数据库]Oracle数据库备份dmp文件,使用cmd命令导入导出步骤,以及忘记Oracle密码_星空网...
  8. iCloud 是什么
  9. python正则库安装_python中正则表达式regex库的使用
  10. 小花语音机器人(零)-单片机控制驱动板PCB
  11. U盘有必要安全弹出吗??
  12. AD如何修改PCB文件的黑色编辑区
  13. PHP curl实现GET请求
  14. 计算机里不显示u盘盘符,U盘不显示盘符怎么办 U盘没了盘符解决方法【详解】...
  15. 做数据建模有哪些工具是值得推荐的?
  16. 关于 Android O 的 treble/hidl
  17. WaitGroup is reused before previous Wait has returned
  18. 服务器电源系统,服务器电源系统于新一代数据中心设计的基础意义
  19. 【图像超分辨率重建】——“SISR 中的Edge-Based 损失函数”论文精读
  20. HttpClient的释放资源到底在释放什么?如何正确的释放资源?

热门文章

  1. 我为什么选择了电商行业?
  2. 手持激光焊接机的市场
  3. Linux之多线程(上)——Linux下的线程概念
  4. Redis基于dockerfile的容器部署
  5. html设置打印规则,css @page规则控制打印设置选项
  6. ELF文件格式-笔记
  7. 职场新人酒场生存法则
  8. TypeScript-Int64实现
  9. 2019年中国游戏市场
  10. 爬取三千条数据需要多久_只需几十行代码,Python就能轻松爬取 3000+ 上市公司的信息...