勒索軟件在不斷地變化發(fā)展，攻擊者會使用各種方式敲詐目標支付贖金，如今它不僅僅是加密數據，同時也會造成數據泄露。

許多公司組織堅信完善的反病毒保護方案可以防止被勒索軟件攻擊，但是勒索攻擊仍然一次又一次成功。大多是情況下，攻擊者會利用虛擬專用網中的一些已知漏洞，或者對暴露在互聯網中的主機進行攻擊，并不完全是利用惡意軟件直接進行攻擊。

?[[355304]]?

Ragnar Locker

Ragnar Locker在2020年上半年開始攻擊大型組織，它具有很強的針對性，每一個樣本都是為目標組織量身定做的。如果受害者拒絕付款，他們的數據將被公布在網上。攻擊者聲稱，這筆錢是他們發(fā)現漏洞、為文件提供解密和為受害者提供OpSec培訓的獎勵。

根據拒絕付款的受害者名單，Ragnar Locker的主要目標是美國公司，行業(yè)類型各不相同。

Ragnar Locker 技術分析

研究人員選擇最近發(fā)現的惡意軟件樣本進行分析：1195d0d18be9362fb8dd9e1738404c9d

啟動時，Ragnar Locker會檢查計算機區(qū)域設置。如果是列出的某個國家區(qū)，它將停止操作并退出。

不在上述列表中的國家，它將繼續(xù)檢查一下字符串：

所有準備工作完成后，木馬程序將搜索本地磁盤并加密受害者的文件。

RagnarLocker使用基于Salsa20進行加密。 每個文件的密鑰和隨機數值也是唯一生成的，并通過木馬中硬編碼的2048位公共密鑰一起加密。

在加密文件后，Ragnar Locker會將加密的密鑰，隨機數和初始化常量添加到加密的文件中，并添加標記“!@#_?agna?_#@!”。

Egregor

Egregor勒索軟件于2020年9月被發(fā)現，經過初步分析，其與Sekhmet勒索軟件和Maze勒索軟件存在關聯。

Egregor勒索軟件通常會出現斷網的情況，惡意軟件樣本是一個DLL文件，需要使用命令行參數并給出的正確密碼來啟動。 Egregor是最激進的勒索軟件家族，如果72小時內不支付贖金，受害者的數據將會被公布。

Egregor技術分析

研究人員選擇最近發(fā)現的樣本進行分析：b21930306869a3cdb85ca0d073a738c5

惡意軟件只有在啟動過程中提供正確密碼才會生效。 此技術旨在阻礙沙盒自動分析以及研究人員的手動分析，沒有正確的密碼，就不可能解壓縮和分析有效載荷。

解壓運行惡意程序后，最終得到了一個混淆的二進制文件，該二進制文件仍然不適合靜態(tài)分析。 Egregor中使用的混淆技術與Maze、Sekhmet中的混淆技術非常相似。

控制流混淆示例

有效負載開始執(zhí)行時，它將檢查操作系統(tǒng)用戶語言，避免對安裝了以下語言的計算機進行加密：

終止以下進程：

Egregor使用基于流密碼ChaCha和非對稱密碼RSA的混合加密方案。

Egregor會生成一對唯一的會話密鑰對。 會話專用RSA密鑰由ChaCha導出并使用唯一生成的密鑰+隨機數加密，然后用主公共RSA密鑰加密該密鑰和隨機數。 結果保存在二進制文件中(在本例中為C:\ProgramData\dtb.dat)，并在贖金記錄中保存為base64編碼的字符串。

Egregor處理的文件會生成一個新的256位ChaCha密鑰和64位隨機數，通過ChaCha加密文件內容，然后使用會話公共RSA密鑰加密秘鑰和隨機數，最后將它們與一些輔助信息一起保存。每個加密文件的最后16個字節(jié)由動態(tài)標記組成。

Egregor的地理覆蓋范圍比Ragnar Locker的更廣

涉及諸多行業(yè)：

保護措施

• 勿將遠程桌面服務(例如RDP)開放到互聯網中，開放服務需要使用強密碼;
• 及時安裝商業(yè)虛擬專用網可用補丁;
• 及時更新所有設備上的軟件，防止被勒索軟件攻擊;
• 將防御策略重點放在檢測橫向移動和向Internet的數據泄漏方面;
• 定期備份數據;
• 培訓員工提高安全意識，如何防范勒索軟件攻擊。