勒索软件仍然是最具破坏性的恶意软件之一,能够重创个人、组织甚至整个行业。网络犯罪分子不断改进其攻击手段,开发出日益复杂的威胁,旨在加密文件、窃取数据并勒索受害者钱财。最近发现的一种勒索软件变种 Kyber 勒索软件,就体现了此类攻击日益复杂和残酷的一面,它警醒人们,保护系统免受不断演变的网络威胁至关重要。
深入探究 Kyber 勒索软件
网络安全专家在分析上传到恶意软件存储库 VirusTotal 的恶意样本时发现了 Kyber 勒索软件。一旦该勒索软件入侵系统,Kyber 就会开始加密存储的数据,并在每个受感染的文件后附加不常见的后缀“.#~~~”。例如,“1.png”或“2.pdf”等文件会被重命名为“1.png.#~~~”和“2.pdf.#~~~”,从而有效地阻止用户访问其自身内容。
除了文件加密之外,勒索软件还会释放一个名为“READ_ME_NOW.txt”的勒索信息。该信息告知受害者,他们的文件已使用 AES-256-CTR 算法加密,这是一种强大的加密标准,旨在防止未经授权的数据恢复。攻击者声称只有他们拥有必要的解密密钥,尝试独立恢复文件或寻求执法部门的帮助都将无法恢复。
为了加大压力,勒索信警告称,如果受害者在一到两周内不遵守规定,大量窃取的数据将被公开。这种双重勒索手段不仅可能造成数据丢失,还可能暴露敏感或机密信息。受害者被指示使用基于 Tor 的聊天平台联系攻击者,据称这可以确保双方的匿名性。
攻击背后的机制
Kyber 勒索软件是日益流行的网络攻击趋势的一部分,它将加密与数据窃取相结合,以最大限度地提高攻击效果。该恶意软件可以通过多种渗透渠道进行部署。常见的感染媒介包括:
- 包含恶意附件或欺骗性链接的网络钓鱼电子邮件。
- 利用软件漏洞可以执行远程代码。
- 托管驱动下载的虚假或受感染网站。
- 恶意广告、点对点 (P2P) 文件共享平台和不可信的安装程序。
- 受感染的可移动媒体(例如 USB 驱动器)会自动执行有害负载。
一旦执行,勒索软件就会启动一个进程,加密受害者的文件并与远程服务器通信以管理窃取的数据。由于加密依赖于强大的加密方法,因此如果没有攻击者的唯一密钥,解密几乎是不可能的。
Kyber 感染的后果
成为 Kyber 勒索软件的受害者可能会造成严重后果,不仅仅是失去对个人或业务关键文件的访问权限。双重勒索机制会带来声誉和财务风险,因为泄露的信息可能会暴露知识产权、客户数据或机密通信。组织可能面临运营中断、监管处罚,甚至基本服务完全关闭。
即使受害者决定支付赎金,也无法保证攻击者会提供可用的解密工具,也无法保证被盗数据不会被泄露。此外,支付赎金只会助长进一步的犯罪活动,鼓励犯罪者继续犯罪。
加强防御:最佳安全实践
虽然 Kyber 勒索软件构成了巨大的威胁,但用户可以通过采取主动的网络安全措施来显著降低感染风险。以下最佳实践为预防勒索软件攻击奠定了坚实的基础:
保持定期备份
为重要数据创建多个安全备份,并将其离线存储或存储在独立的云环境中。定期测试备份完整性,确保在需要时可以恢复文件。
保持软件更新
操作系统、应用程序和固件的安全更新和补丁一经发布,请立即安装。网络犯罪分子经常利用未修补的漏洞入侵系统。
使用强大的安全工具
部署信誉良好的防病毒和反恶意软件解决方案,能够在勒索软件执行之前检测并阻止其运行。启用实时保护并定期扫描系统以查找威胁。
养成安全浏览和电子邮件的习惯
避免点击可疑链接、下载未知发件人的附件或接收未经请求的电子邮件。警惕那些营造紧迫感或索要个人信息的邮件。
实施强大的访问控制
限制管理权限,强制执行多因素身份验证 (MFA),并分段网络以防止在发生泄露时发生横向移动。
教育用户和员工
意识培训可帮助用户识别网络钓鱼企图、虚假软件更新和社会工程计划以及勒索软件的常见网关。
最后的想法
Kyber 勒索软件代表着网络犯罪分子与防御者之间持续不断的“军备竞赛”的又一次演变。它结合了强大的加密技术和数据泄露技术,凸显了个人和组织保持警惕、实施分层防御和维护可靠数据备份的必要性。在这个勒索软件攻击可以在几分钟内破坏整个网络的时代,主动的网络安全措施并非可有可无,而是数字生存的必要条件。
System Messages
The following system messages may be associated with Kyber勒索软件:
#Hello, if you are seeing this then you have been attacked by Kyber Ransomware.
Your files are encrypted with the AES-256-CTR algorithm.
>--(Explanation) hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Two asymmetric algorithms X25519 and Kyber1024 were used for key generation.
>--(Explanation) hxxps://en.wikipedia.org/wiki/Curve25519
>--(Explanation) hxxps://en.wikipedia.org/wiki/Kyber
Keys are created from several random sources, so do not hope that you will return the files without our help
>--(Explanation) hxxps://en.wikipedia.org/wiki//dev/random
>--(Explanation) hxxps://en.wikipedia.org/wiki/RDRAND
>--(Explanation) hxxps://en.wikipedia.org/wiki/HKDF
(??WE HAVE A FLASH DRIVE WITH BACKUPS ON THE ADMIN'S NECK??)
>=======================================
> In addition to encrypting files, a lot of data has been downloaded from your network.
> If you don't write to us, within a week or two your name will end up on our
> blog with example of important data.
>=======================================
(??CAN WE TRUST HACKERS??)
>=======================================
> If you come to our chat room, you can count on free decryption for three small files.
> and examples of the downloaded data.
>=======================================
(??WE DON'T HAVE VALUABLE DATA??)
>=======================================
> We take a responsible approach to doing our job.
> We have probably downloaded a lot of personal information from your servers, and could
> cause you HUGE problems by publishing it.
# Documents such as payroll, statements, contracts and others may contain valuable data,
# the publication of which could lead to lawsuits.
>=======================================
(??WILL THE POLICE HELP??)
>=======================================
> DO NOT try to call the police as they will not save you from
> publishing your data, nor will they help you get your files back,
> they will only ban you from paying.
>=======================================
(??WHAT IF I TRIED TO TRICK YOU???)
>=======================================
> DO NOT modify the files, you may damage them and make it so
> we can't help you.
>=======================================
(??WHAT ABOUT THE ANONYMITY??)
>=======================================
> We create unique links to anonymous chat for each company.
> you don't have to worry, all the details of our deal will be kept secret.
> We also have alternative ways to contact us if you are worried and do
> not want to write in the panel.
>=======================================
HOW TO CONTACT US:
Download Tor Browser (hxxps://www.torproject.org/download)
Open it
Follow this link: -
(Also maybe you would like to visit our blog? Don't be shy!)
Blog:
|
