Lilith是一個由JAMESWT發(fā)現(xiàn)的基于C/C++控制臺的勒索軟件，是專門針對64位版本的Windows進行設(shè)計。像今天推出的大多數(shù)勒索軟件一樣，Lilith會執(zhí)行雙重勒索攻擊，也就是攻擊者在加密設(shè)備之前先竊取受害者的重要數(shù)據(jù)。

根據(jù)Cyble的研究人員對Lilith的分析報告，這個新的勒索軟件并沒有引入任何新意。然而Lilith以及最近出現(xiàn)的RedAlert和0mega，仍應(yīng)該被視為新威脅，企業(yè)也應(yīng)該提高對它們的關(guān)注度。

莉莉絲的細節(jié)

執(zhí)行時，Lilith會試圖終止與硬編碼列表中的條目相匹配的進程，包括Outlook、SQL、Thunderbird、Steam、PowerPoint、WordPad、Firefox等。

這一過程會將有價值的文件從目前可能正在使用它們的應(yīng)用程序中釋放出來，從而使這些高價值文件能夠被加密。

在加密過程啟動之前，莉莉絲在所有列舉的文件夾中創(chuàng)建并投下贖金票據(jù)。

該說明給受害者三天時間，讓他們通過所提供的Tox聊天地址與勒索軟件行為者聯(lián)系，否則他們將受到公開數(shù)據(jù)暴露的威脅。

一個代號為“Lilith”的新勒索軟件行動近日出現(xiàn)在網(wǎng)絡(luò)上，并展開了攻擊行動，該勒索軟件已經(jīng)在支持雙重勒索攻擊的數(shù)據(jù)泄露網(wǎng)站上發(fā)布了受害企業(yè)的數(shù)據(jù)信息。

莉莉絲的勒索信 (Cyble)

被排除在加密之外的文件類型是EXE、DLL和SYS，同時程序文件、網(wǎng)絡(luò)瀏覽器和回收站文件夾也不會被加密。

有趣的是，Lilith還包含一個 "ecdh_pub_k.bin "的排除項，它存儲了BABUK勒索病毒感染的本地公鑰。

包括BABUK密鑰的排除列表（Cyble）

這可能是復(fù)制的代碼的殘留物，所以它可能是兩個勒索軟件菌株之間的一個跡象。

最后，加密是使用Windows加密API進行的，通過Windows的CryptGenRandom函數(shù)生成隨機密鑰。勒索軟件在加密文件時會附加了".lilith "文件擴展名。

要注意什么？

雖然現(xiàn)在判斷Lilith是否會發(fā)展成為一個大規(guī)模的威脅或一個成功的RaaS項目還為時過早，但分析家們?nèi)匀粦?yīng)該密切關(guān)注它的發(fā)展進程。

Lilith的第一個受害者是一個位于南美的大型建筑集團，這是一個表明Lilith可能對大型企業(yè)感興趣的跡象。并且其背后的操作者已經(jīng)意識到他們需要穿越政治迷宮以避免成為執(zhí)法部門的目標(biāo)。畢竟，這些新穎的勒索軟件項目大多是舊程序的重塑，因此它們的操作者通常非常了解這個領(lǐng)域的復(fù)雜性。

參考來源：https://www.bleepingcomputer.com/news/security/new-lilith-ransomware-emerges-with-extortion-site-lists-first-victim/