2025年9月初出现的“幽霊”勒索软件因其将基于Go语言的执行方式与ChaCha20加密技术新颖结合而迅速引发关注。

这一威胁行为体“幽霊”（Yurei）最早于9月5日被记录在案，当时一家斯里兰卡食品制造商成为受害者。该行为体采用双重勒索模式：在加密文件的同时，窃取敏感数据以获取额外筹码。

几天内，印度和尼日利亚又有两名受害者被公开列入名单，这凸显了该运营商的快速扩张。

与许多开发定制工具集的复杂组织不同，Yurei的代码库可追溯至开源的Prince勒索软件项目，这引发了人们对攻击者技能水平和资源的质疑。

Yurei 的核心是利用 Go 语言的并发特性并行枚举所有驱动器，并使用 ChaCha20 算法对文件进行加密。

对于每个文件，都会生成一个新的随机ChaCha20密钥和随机数，然后使用ECIES和攻击者的公钥对其进行加密。

生成的密文、密钥和随机数通过分隔符连接：-

// Generate random key and nonce
key := generateChaCha20Key()
nonce := generateNonce()
// Encrypt file content
encryptedData := chaCha20Encrypt(content, key, nonce)
// Protect key and nonce with ECIES
protectedKey := eciesEncrypt(key, publicKey)
protectedNonce := eciesEncrypt(nonce, publicKey)
// Store encrypted file
store := protectedKey + "||" + protectedNonce + "||" + encryptedData

Check Point的研究人员指出，Yurei在二进制文件中保留了符号，这是从Prince-Ransomware构建工具继承的一个错误，该工具没有剥离调试信息。

这种疏忽给分析师提供了清晰的函数名称，例如Yurei_encryption_generateKey和Yurei_filewalker_EncryptAllDrivesAndNetwork，从而简化了逆向工程流程。

卷影复制恢复与防御影响

尽管如此，Yurei对Go语言的使用让一些传统杀毒软件的检测工作变得复杂，这表明编程语言的选择会对防御措施产生影响。

加密成功后，Yurei尝试通过PowerShell设置自定义壁纸，但由于缺少有效的URL，该命令执行失败，导致背景为空白。

嵌入的PowerShell代码片段与其前身“王子勒索软件”的代码片段相似：

(New-Object System.Net.WebClient).DownloadFile('<WallpaperURL>', "$env:TEMP\Wallpaper.png")
Add-Type -TypeDefinition @"
using System;
using System.Runtime.InteropServices;
public class Wallpaper {
    [DllImport("user32.dll", CharSet=CharSet.Auto)]
    public static extern bool SystemParametersInfo(int uAction, int uParam, string lpvParam, int fuWinIni);
}
"@
[Wallpaper]::SystemParametersInfo(20, 0, "$env:TEMP\Wallpaper.png", 3)

在防御策略的背景下，Yurei未能删除卷影副本，这暴露了一个关键弱点。

启用VSS的组织无需支付赎金即可恢复文件，但泄露的数据仍面临风险。

快速加密、数据窃取以及不成熟的持久化技术相结合，体现了一种低投入但有效的操作。

随着Yurei继续瞄准多个行业，安全团队被敦促监控独特的文件扩展名.Yurei，实施严格的出口控制，并验证卷影复制服务（VSS）快照，以减轻这一新兴威胁的影响。