新的勒索软件在第一个月就有十名受害者
出现了一种名为“Dark Power”的新勒索软件操作,它已经在一个暗网数据泄露网站上列出了第一批受害者,并威胁说如果不支付赎金就公布数据。
勒索软件团伙的加密器的编译日期是 2023 年 1 月 29 日,即攻击开始的时间。
此外,该操作尚未在任何黑客论坛或暗网空间上推广;因此它可能是一个私人项目。
据分析 Dark Power 的 Trellix 称,这是一种针对全球组织的机会主义勒索软件操作,要求支付相对较小的 1万美元赎金。
Dark Power攻击细节
Dark Power 有效载荷是用 Nim 编写的,Nim 是一种跨平台编程语言,具有多个与速度相关的优势,使其适用于性能关键型应用程序,如勒索软件。
此外,由于 Nim 现在才开始在网络犯罪分子中越来越受欢迎,它通常被认为是不太可能被防御工具检测到的利基选择。
Trellix 没有提供有关 Dark Power 感染点的详细信息,但它可能是一种利用、网络钓鱼电子邮件或其他方式。
执行时,勒索软件会创建一个随机的 64 个字符长的 ASCII 字符串,用于在每次执行时使用唯一密钥初始化加密算法。
接下来,勒索软件会终止受害者机器上的特定服务和进程,以释放文件进行加密,并最大限度地减少任何阻止文件锁定进程的可能性。
在此阶段,勒索软件还会停止其硬编码列表中的卷影复制服务 (VSS)、数据备份服务和反恶意软件产品。
终止的进程和服务
杀死上述所有服务后,勒索病毒会休眠30秒,并清除控制台和Windows系统日志,以防止数据恢复专家分析。
加密使用 AES(CRT 模式)和启动时生成的 ASCII 字符串。生成的文件被重命名为“.dark_power”扩展名。
有趣的是,该勒索软件有两个版本在野外流传,每个版本都有不同的加密密钥方案。
第一个变体使用 SHA-256 算法对 ASCII 字符串进行哈希处理,然后将结果分成两半,使用第一部分作为 AES 密钥,第二部分作为初始化向量 (nonce)。
第二种变体使用 SHA-256 摘要作为 AES 密钥,并使用固定的 128 位值作为加密随机数。
DLL、LIB、INI、CDM、LNK、BIN 和 MSI 等系统关键文件,以及程序文件和网络浏览器文件夹,都被排除在加密之外,以保持受感染计算机的运行,从而使受害者能够查看赎金注意并联系攻击者。
从加密中排除的文件和文件夹
赎金票据最后一次修改是在 2023 年 2 月 9 日,它给受害者 72 小时的时间将 1万美元的 XMR(门罗币)发送到提供的钱包地址,以获得可用的解密器。
与其他勒索软件操作相比,Dark Power 的赎金记录很突出,因为它是一个 8 页的 PDF 文档,其中包含有关发生的事情以及如何通过 qTox 信使联系他们的信息。
赎金票据的第一页
受害者与活动
撰写本文时,Dark Power 的 Tor 站点处于离线状态。然而,随着与受害者谈判的深入,勒索软件门户定期离线的情况并不少见。
Trellix 报告说,它已经看到来自美国、法国、以色列、土耳其、捷克共和国、阿尔及利亚、埃及和秘鲁的十名受害者,因此目标范围是全球性的。
Dark Power 的受害者勒索页面
Dark Power 组织声称从这些组织的网络中窃取了数据,并威胁说如果他们不支付赎金,就会公布这些数据,所以它又是一个双重勒索组织。
新的勒索软件在第一个月就有十名受害者相关推荐
- 宏碁再次遭遇勒索病毒攻击、谷歌分析8000万个勒索软件样本|10月15日全球网络安全热点
安全资讯报告 MyKings僵尸网络仍然活跃并赚取大量资金 MyKings僵尸网络(又名Smominru或DarkCloud)仍在积极传播,在它首次出现在野外五年后,通过加密货币赚取了大量资金. 作为 ...
- 小鹏汽车9月总交付10412台 成为新造车势力中第一家月交付过万的企业
10月1日消息,小鹏汽车在其官方微博宣布,9月总交付10,412台,其中小鹏P7交付7,512台,累计交付量超过5万台.7-9月累计交付量25,666台,单季度交付量接近2020年全年的交付量.今年前 ...
- 新成立公司的会计第一个月要做什么?
新成立公司的会计第一个月应该做什么?从事新成立公司的财务工作者,工作第一个月肯定要处理很多问题. 1.到新成立公司的会计人员要考虑的第一件事是什么? 答:首先要考虑建立健全各项财务规章制度:然后,考虑 ...
- 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性
原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...
- ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播
最近ESET研究人员发现了一个新的Android勒索软件家族,它们试图通过向受害者的手机的联系人列表发送恶意短信继续传播. 在Android勒索软件遭遇两年的衰退之后,一个新的Android勒索软件家 ...
- 伊朗加油站遭网络攻击致瘫痪、Babuk勒索软件源代码泄露|10月28日全球网络安全热点
安全资讯报告 电子邮件泄露事件致英国公司损失1.4亿英镑 根据英国国家经济犯罪中心(NECC)的最新数据,在过去12个月中,报告的商业电子邮件泄露(BEC)事件已达到4600起,给个人和企业造成了1. ...
- 新的RA Group勒索软件针对美国组织进行双重勒索攻击
一个名为"RA Group"的新勒索软件组织针对美国和韩国的制药.保险.财富管理和制造公司. 新的勒索软件行动始于 2023 年 4 月,当时他们在暗网上启动了一个数据泄露站点,以 ...
- 安全预警:勒索软件正成为制马人的新方向
360手机卫士 · 2016/05/17 15:12 0x00 引言 4月份360 移动安全团队发布的<Android勒索软件研究报告>详细揭露了目前国内Android勒索软件黑色产业链情 ...
- 第一百二十四期:2019年臭名昭著的勒索软件,网络钓鱼和僵尸网络
Webroot发布了年度恶意软件列表,展示了2019年最臭名昭著的网络安全威胁.从攻击次数最多的勒索软件和加密挖矿,到破坏最大的网络钓鱼攻击,显然,全球网络威胁正在变得更为先进且难以预测. 作者:ki ...
最新文章
- C++列表初始化容器
- 多进程的一些注意事项
- Windows XP下屏蔽Ctrl_Alt_Del键的方法
- vue cli 4 多环境_Vue 前端uni-app多环境配置部署服务器的问题
- 今日代码(200714)--主客观求指标权重及求城市得分
- 到底是谁发明了物联网?
- oracle备份密码文件,[数据库]Oracle数据库备份dmp文件,使用cmd命令导入导出步骤,以及忘记Oracle密码_星空网...
- iCloud 是什么
- python正则库安装_python中正则表达式regex库的使用
- 小花语音机器人(零)-单片机控制驱动板PCB
- U盘有必要安全弹出吗??
- AD如何修改PCB文件的黑色编辑区
- PHP curl实现GET请求
- 计算机里不显示u盘盘符,U盘不显示盘符怎么办 U盘没了盘符解决方法【详解】...
- 做数据建模有哪些工具是值得推荐的?
- 关于 Android O 的 treble/hidl
- WaitGroup is reused before previous Wait has returned
- 服务器电源系统,服务器电源系统于新一代数据中心设计的基础意义
- 【图像超分辨率重建】——“SISR 中的Edge-Based 损失函数”论文精读
- HttpClient的释放资源到底在释放什么?如何正确的释放资源?