新的Azov数据擦除软件企图诬陷研究人员和IT安全外媒BleepingComputer

admin

0
文章

0
评论

2024-01-11 17:17:23 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

一种具有破坏性的新型“Azov勒索软件”数据擦除软件正通过盗版软件、密钥生成器和广告软件套件大肆传播，声称知名安全研究人员是攻击的幕后黑手，企图诬陷对方。

Azov勒索软件假称是由一个名叫Hasherazade的知名安全研究人员开发的，还列出其他研究人员、本人（指本文作者Lawrence Abrams）和IT安全外媒BleepingComputer参与了这次攻击活动。

一封题为RESTORE_FILES.txt的勒索函显示，加密设备是为了抗议克里米亚被占领，还有一个原因是西方国家在乌克兰与俄罗斯的战争中对乌克兰没有提供足够的帮助。

图1. 发给受害者的“Azov勒索软件”数据擦除软件勒索函（来源：BleepingComputer）

勒索函告诉受害者通过Twitter联系本人、BleepingComputer、Hasherazade、MalwareHunterTeam、Michael Gillespie或Vitali kremitz以恢复文件，错误地暗示我们BleepingComputer是勒索软件团伙的一部分。

需要明确的是，勒索函中列出的那些人与这个勒索软件毫无关联，而是被威胁分子诬陷了。因此遗憾的是，我们没有解密密钥，也无法提供帮助。

此外，由于没有办法联系威胁分子以支付赎金，应该将这个恶意软件视为具有破坏性的数据擦除软件，而不是勒索软件。

遗憾的是，受害者已经开始联系BleepingComputer要求帮助恢复文件；尽管我们很想帮助，但目前不知道该如何帮助。

虽然威胁分子声称他们这么做是为了支持乌克兰，但BleepingComputer获悉一家乌克兰组织已受到了这个数据擦除软件的影响。

这个擦除软件的名字来自乌克兰亚速团（Azov Regiment），这支颇有争议的军事力量据称过去与新纳粹意识形态有关。

这不是第一次恶意软件威胁分子企图诬陷安全研究人员了。

2016年，Apocalypse勒索软件团伙将其中一个变种改名为Fabiansomware（取名自Fabian Wosar）。2020年，Maze勒索软件的一名开发者发布了MBR Locker，声称它是由Vital Kremz开发的。

我们对Azov擦除软件已了解的情况

在过去两天开始的一场新活动中，威胁分子似乎通过SmokeLoader恶意软件僵尸网络购买了“安装包”，以投放具有破坏性的新型Azov擦除软件。

图2

SmokeLoader是一个恶意软件僵尸网络，其他威胁分子可以租用或购买“安装包”，将自己的恶意软件分发到受感染的设备上。SmokeLoader通常通过传播虚假软件漏洞、游戏修改、作弊和密钥生成器的网站来分发。

在过去这几天，SmokeLoader已开始投放新的“Azov勒索软件”以及其他恶意软件，比如RedLine Stealer信息窃取恶意软件和STOP勒索软件。

BleepingComputer已经意识到受害者遭到双重加密，先是用Azov加密，然后用STOP勒索软件加密，因为SmokeLoader同时投放这两种恶意软件。

初始勒索软件可执行文件将被投放到Windows临时文件夹（% temp %）中的一个随机文件下，然后被执行。

一旦启动，该擦除软件将拷贝C:\ windows \ system32 \ msiexc .exe到C:\ProgramData\rdpclient.exe [VirusTotal]，并打上补丁，使其也含有Azov擦除软件。此外，擦除软件经配置后，可以使用以下注册表键在Windows开启时启动运行。

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

"Bandera" = "C:\ProgramData\rdpclient.exe"

擦除软件现在将扫描计算机上的所有驱动器，并加密没有.ini、.dll和.exe扩展名的任何文件。

当加密文件时，它将把.azov文件扩展名附加到加密文件的名称后面。比如说，1.doc经过加密后重命名为1.doc.azov，如下图所示。