WasedLocker 勒索软件

勒索软件威胁通常使用不同的传播技巧随机针对毫无戒心的用户。但是，新发现的 WastedLocker Ransomware 并非如此。看起来WastedLocker Ransomware 只针对位于美国的企业。在安全专家研究了这个新的文件锁之后，他们发现它很可能是由开发和分发臭名昭著的Dridex银行木马的网络犯罪分子创建的。据研究人员称，这些骗子还发起了宣传BitPaymer Ransomware和Locky Ransomware 的活动。

本周恶意软件第 13 集：Evil Corp 黑客被阻止部署 WastedLocker 勒索软件

最近，勒索软件威胁的作者一直在使用一种新技巧来进一步迫使受害者支付赎金。许多当代文件柜威胁说，如果他们不付款，就会在网上泄露受害者的数据。如果攻击者以公司为目标，这可能是一种特别有用的技术，因为企业倾向于拥有他们不想在线发布的敏感数据和机密文件。但是，WastedLocker Ransomware 创建者似乎并未使用这种技术，这让恶意软件分析师感到意外。然而，即使不使用这个技巧，WastedLocker Ransomware 也完全有能力对目标系统造成严重破坏。

WastedLocker 如何针对计算机

WastedLocker Ransomware 似乎是手动安装在目标系统上的。安全研究人员认为，这是因为在加密文件时，WastedLocker Ransomware 会在受害者姓名旁边附加".wasted"作为扩展名。 WastedLocker Ransomware 的作者似乎从 BitPaymer Ransomware 借用了一些代码，因为这两种威胁似乎具有一些相同的功能。

赎金费用似乎是按个人计算的。然而，攻击者通常要求数百万美元。据报道，到目前为止，WastedLocker Ransomware 设定的最高赎金费用约为 1000 万美元。 WastedLocker Ransomware 的感染率很低，因为这种威胁的传播不是自动化的，因为攻击者只会针对他们精心挑选的特定目标部署它。

报告指出，没有任何企业支付了 WastedLocker Ransomware 要求的天文数字赎金。不幸的是，WastedLocker Ransomware 不能免费解密。

WastedLocker 的 Payload 和分发方法是独一无二的

WastedLocker 仍在使用 SocGholish 虚假更新框架来分发勒索软件。该框架的主要目的是确定受害者的计算机是否属于更大网络的一部分。 JavaScript bot 从受害者那里获取大量系统信息，然后将其发送回 SocGholish 服务器。根据此信息，服务器向受害者返回有效负载。这是 Evil Corp 仍在使用的主要传播方法。

为了保护其有效负载，WastedLocker 使用旨在增加熵和混淆真实代码的垃圾代码。负责这种混淆的加密器首先检查系统注册表中是否有两个与 Windows 脚本接口相关的特定键，如果没有找到，它要么自行终止，要么进入无限循环。在下一步中，加密器创建一个内存缓冲区，在该缓冲区中串接一系列数据 blob，并使用 XOR 算法解密该缓冲区。一旦解密完成，缓冲区就会显示为负责部署真实有效载荷的 shellcode。 shellcode 创建一个新的缓冲区并复制其中的有效载荷，使用另一种 XOR 算法对其进行解密，最后将内存中的加密器代码与有效载荷的代码交换，然后跳到有效载荷的入口点。

在解密受害者系统上的任何文件之前，WastedLocker 首先运行一些例行检查以确保顺利运行。如果勒索软件通过劫持注入勒索软件的合法文件的新副本没有管理员控制权，则该勒索软件会使用在 Windows system32 目录中找到的随机可执行文件或 DLL 来提升其权限。

安全研究人员还发现了 WastedLocker 用来确定勒索软件是在 32 位还是 64 位系统上运行的代码中的一个错误。勒索软件读取 KUSER_SHARED_DATA 结构并检查其指针的值。如果指针为零，则表示有效负载在 64 位系统上运行 32 位版本。但是，这不是适用于 Windows 10 系统的方法。

一旦WastedLocker 开始加密文件，它就会搜索所有类型的大型存储设备，包括固定、可移动、共享和远程驱动器。勒索软件使用排除列表而不是加密文件类型的常见列表来工作。小于 10 字节的微型文件将被忽略，大文件被分块并加密为 64MB 块。加密使用 AES 算法。

WasedLocker 赎金记录

对于每个加密文件，勒索软件都会创建一个额外的赎金记录。加密文件使用复杂的命名约定，其中包括目标组织或机构的名称和浪费的后缀。这意味着名为"report.xlsx"的文件将变成"report.xlsx.targetnamewasted"。

WastedLocker 使用的赎金记录如下：

[受害者/组织名称]
您的网络现已加密
使用 [电子邮件] | [EMAIL2] 获取数据价格
请勿将此电子邮件发送给第 3 方
不要重命名或移动文件
该文件使用以下密钥加密：
[关键开始]*[关键结束]
收下

WastedLocker 使用的加密排除列表如下：

• *.386
• *.adv
• *.ani
• *.bak
• *。蝙蝠
• *.bin
• *。出租车
• *.cmd
• *.com
• *.cpl
• *.cur
• *.dat
• *.diagcab
• *.diagcfg
• *.dll
• *.drv
• *。EXE文件
• *.帮助
• *.hta
• *.icl
• *.icns
• *.ics
• *.idx
• *.ini
• *。钥匙
• *.lnk
• *.mod
• *.msc
• *.msi
• *.msp
• *.msstyles
• *.msu
• *.nls
• *.nomedia
• *.ocx
• *.ps1
• *。只读存储器
• *.rtp
• *.scr
• *.sdi
• *.shs
• *.sys
• *。主题
• *.themepack
• *.wim
• *.wpx