安全研究人员于 2025 年 9 月初首次观察到 LunaLock，这是一种针对独立插画师和数字艺术家的复杂勒索软件。

利用受损的凭据和社会工程，LunaLock 背后的团队将目光投向了一个利基市场——艺术家和客户——自由创作者在这里交换定制佣金。

最初的入侵涉及伪装成版税通知的鱼叉式网络钓鱼活动，诱使受害者下载木马化的“发票”附件。

一旦执行，有效载荷就会站稳脚跟并开始侦察艺术资产和客户数据库，同时为快速加密做准备。

VenariX 分析师在将来自艺术家工作站的异常出站 HTTP 请求与大量文件加密的时间相关联后，确定了 LunaLock 的多阶段部署。

他们的遥测显示，该恶意软件从 Microsoft Teams 和 Slack 客户端提取用户令牌，允许跨共享设计存储库和项目管理平台进行横向移动。

受害者报告了加密源 PSD 和 AI 文件，文件名后附加了唯一的“.lunalock”扩展名，并附有勒索字条，要求以门罗币付款。

勒索软件的影响超出了数据加密的范围：在受害者收到解密密钥之前，被盗的艺术品就会泄露到远程命令和控制服务器，从而产生双重杠杆作用。

公开披露的示例显示了一个模块化架构，其中包含用于网络传播、凭据盗窃和规避端点检测系统的插件。

一项值得注意的创新是集成了缩小的 JavaScript 模块，该模块通过注入服务控制管理器来禁用 Windows Defender 实时扫描过程。

感染机制

深入研究 LunaLock 的感染机制，发现了一个自定义加载程序，该加载程序可以动态解析 Win32 API 调用以逃避静态分析。

// Dynamic API resolution snippet
BYTE obfName[] = {0x5F,0x23,0xA7,0x19}; // XOR key
for (DWORD i = 0; i < nameLen; ++i) {
    nameBuf[i] = obfName[i] ^ encName[i];
}
HMODULE hMod = LoadLibraryA("kernel32.dll");
FARPROC pFunc = GetProcAddress(hMod, nameBuf);