據(jù)Bleeping Computer消息，作為一種RaaS(勒索軟件即服務(wù))，SunCrypt在2020年期間活動猖獗，雖然在這之后有所沉寂，但根據(jù)最新發(fā)現(xiàn)，該勒索軟件目前仍不時處于活躍狀態(tài)。

SunCrypt 是早期的“三重勒索”軟件之一，包括文件加密、威脅發(fā)布被盜數(shù)據(jù)以及針對非付費受害者的 DDoS(分布式拒絕服務(wù))攻擊。盡管如此，SunCrypt在這之后并沒有發(fā)展成為一個大型的RaaS組織，但根據(jù)Minerva Labs的一份報告，這種停滯并沒有阻止SunCrypt不斷更迭出新的版本。

在今年的版本中，SunCrypt的新功能包括終止進(jìn)程、停止服務(wù)以及擦除設(shè)備數(shù)據(jù)執(zhí)行勒索。這些功能在其它勒索軟件中已經(jīng)存在，因而就目前看來SunCrypt仍處在開發(fā)的早期階段。

進(jìn)程終止包括資源密集型進(jìn)程，這些進(jìn)程可以阻止對打開的數(shù)據(jù)文件進(jìn)行加密，例如寫字板(文檔)、SQLWriter(數(shù)據(jù)庫)和 Outlook(電子郵件);清理功能在加密例程結(jié)束時激活，使用兩個 API 調(diào)用來擦除所有日志。清除所有日志后，勒索軟件會使用 cmd.exe將自身從磁盤中刪除。最新版本中保留的一個重要的舊功能是使用I/O完成端口，通過進(jìn)程線程實現(xiàn)更快的加密。

清除事件日志的 API 調(diào)用

此外，SunCrypt繼續(xù)對本地卷和網(wǎng)絡(luò)共享進(jìn)行加密，并且仍然保持著對Windows目錄、boot.ini、dll文件、回收站和其他項目的允許列表。如果這些項目被加密，計算機(jī)將無法操作。

SunCrypt使用的最新版贖金票據(jù)

目前，SunCrypt的活動策略可能是針對高價值實體，并且將贖金支付的談判保密，避免引起執(zhí)法部門注意和來自媒體的報道。據(jù)悉，瑞士最大的連鎖超市Migros已成為最新的受害者，該企業(yè)擁有超10萬名員工。

綜上，SunCrypt無疑是一個尚未破解的威脅，對其發(fā)展還需要進(jìn)行密切的觀察。

參考來源：https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-is-still-alive-and-kicking-in-2022/