Qilin.B Ransomware

通过Mezo在勒索软件

翻译为：

网络安全专家发现了麒麟勒索软件的增强版，其复杂性更高，且避免被发现的策略更为精妙。

该变体目前被专家归类为 Qilin.B。值得注意的是，Qilin.B 在支持 AESNI 的系统上使用 AES-256-CTR 加密，而在不支持此功能的系统上则继续使用 Chacha20。为了保护加密密钥，它将 RSA-4096 与 OAEP 填充集成在一起，确保在没有攻击者的私钥或捕获特定种子值的情况下无法解密。

通过 RaaS 方案提供 Qilin 威胁

最初被称为 Agenda 的Qilin 勒索软件在 2022 年 7 月和 8 月引起了网络安全界的关注。第一个版本是用 Golang 开发的，但后来过渡到 Rust。

根据 2023 年 5 月的一份报告，麒麟的勒索软件即服务 (RaaS) 模式将每笔赎金的 80% 到 85% 分配给其关联公司。最近归因于此勒索软件操作的攻击集中在收集少数受感染系统上存储在 Google Chrome 中的凭据，这标志着与通常的双重勒索策略的转变。

勒索病毒“Qilin.B”恶意功能进一步增强

对Qilin.B变种的分析表明，它在以前的版本的基础上扩展了加密选项并改进了操作策略。

这包括利用 AES-256-CTR 或 Chacha20 加密，同时通过关闭与安全工具相关的服务、定期清除 Windows 事件日志以及执行后自我删除来积极抵抗分析和检测。此外，它还能够终止与 Veeam、SQL 和 SAP 等备份和虚拟化工具相关的进程并删除卷影副本，从而使恢复更具挑战性。

Qilin.B 的高级加密、复杂的规避技术以及针对性地破坏备份服务使其成为一种特别强大的勒索软件变种。

勒索软件的危害

勒索软件仍然是最具破坏性的网络威胁之一，对个人和企业均有影响。这种威胁的工作原理是加密目标系统上的文件，除非支付赎金，否则用户无法访问自己的数据。赎金要求从几百美元到数百万美元不等，具体取决于被盗信息对受害者的价值。然而，即使支付了赎金，攻击者也不一定能拿到解密密钥，这会让受害者遭受双重损失——经济损失和数据可访问性损失。

除了经济损失外，勒索软件攻击还会严重扰乱运营。公司可能会遭受长时间停机、失去客户信任，如果敏感数据泄露，还可能面临法律后果。应对勒索软件的压力和不确定性也会给个人和组织造成巨大的情感伤害。

有效的勒索软件防御策略

定期备份：最强大的防御措施之一是经常备份重要文件。有组织的备份计划（包括异地或云存储快照）可确保在发生攻击时可以恢复文件，而无需支付赎金。
可靠的安全软件：使用提供实时保护的知名安全工具可以帮助检测并阻止勒索软件，防止其危害您的系统。定期更新这些工具可确保它们能够识别新出现的威胁。
员工意识培训：勒索软件攻击通常通过网络钓鱼或社交工程利用人为错误。定期培训员工如何识别可疑电子邮件和链接可以大大降低意外感染勒索软件的风险。
软件和系统更新：网络犯罪分子通常利用过时软件中的漏洞来部署勒索软件。保持所有系统和应用程序为最新版本有助于防止这些漏洞被利用。
网络分段：对于组织而言，通过隔离关键资产，网络分段可以减少勒索软件的传播。通过这样做，公司可以遏制攻击，保护敏感数据并最大限度地减少潜在损害。
访问控制：实施严格的访问权限限制谁可以查看或修改敏感文件。这降低了可能导致勒索软件攻击的未经授权的操作的可能性。

通过采用这些主动的安全措施，用户可以加强对勒索软件的防御，并降低成为这些破坏性攻击的受害者的可能性。