Bash 2.0勒索軟體
勒索軟體仍然是個人和組織面臨的最具破壞性的威脅之一。一次成功的入侵就可能擾亂您的文件,中斷業務運營,並使敏感資料落入勒索者的手中。主動防護、分層安全控制、使用者警覺性和可靠的備份,總比向犯罪者支付費用(卻仍無法取回資料)便宜得多。 Bash 2.0 勒索軟體(也稱為 Bash Red)及時提醒我們,新興勒索家族在不斷改進成熟的攻擊代碼的同時,也在不斷完善對受害者的施壓策略。
目錄
認識 BASH 2.0(BASH RED)
研究人員在調查新的惡意軟體活動時發現了 Bash 2.0。該威脅基於 Chaos 勒索軟體程式碼庫構建,該框架已被多個衍生產品重複使用。利用 Chaos 為攻擊者提供了先機:核心加密、文件處理和勒索通知例程已存在,並且可以針對新的攻擊活動進行自訂。 Bash 2.0 利用這些繼承的功能來鎖定資料並勒索贖金。
您的文件會發生什麼
一旦 Bash 2.0 在系統上執行,它就會嘗試加密可存取的資料。每個受感染的檔案都會獲得一個由四個隨機字元組成的額外副檔名,將類似「1.png」的檔案轉換為「1.png.2rf9」(隨機後綴因感染而異)。這種重命名約定有助於攻擊者(以及自動化工具)追蹤被鎖定的文件,同時立即向受害者發出訊號,告知其資料已無法使用。勒索軟體也會更改桌面壁紙,以視覺效果強化勒索訊息。
贖金資訊:BASHRED-README.TXT
加密完成後,Bash 2.0 會釋放一個名為「bashred-reAdmE.txt」的文字提示。此提示會告知受害者檔案已加密,並聲稱唯一可行的復原途徑是從攻擊者那裡取得唯一的解密金鑰和軟體。受害者會被指示建立聯繫並付款;該提示還警告稱,重新命名、修改或嘗試單獨解密鎖定的資料可能會造成永久性損壞。壁紙的更換通常與上述主題相呼應,從而加劇了事件的緊迫性。
資料恢復有多真實?
在大多數勒索軟體事件中,由於加密技術本身就具有很強的加密強度,因此在沒有攻擊者合作的情況下解密在技術上是不可行的。只有在極少數情況下,通常是惡意軟體作者在實施過程中出現嚴重錯誤時,才有可能在沒有攻擊者參與的情況下解密。即使支付贖金也難以保證:受害者經常報告稱,他們從未收到可用的工具、只收到部分解密器,或者遇到了損壞的密鑰。支付贖金還會為進一步的犯罪活動提供資金,這可能會讓您再次成為目標。基於這些原因,安全專家強烈建議不要滿足贖金要求。
止血:清除和遏制
從受感染的環境中清除 Bash 2.0 對於阻止其他檔案加密以及防止威脅蔓延到連線的系統至關重要。但是,清除惡意軟體並不會解密已鎖定的資料。真正的復原依賴於安全、離線且未受破壞的備份。在復原之前,請將受影響的電腦與網路隔離,使用更新的工具執行完整的惡意軟體掃描,並在無法確保信任的地方重建或重新鏡像。只有在確認已恢復的系統乾淨後才能重新連線。
BASH 2.0 如何在野外傳播
攻擊者撒網甚廣。與勒索軟體活動相關且與 Bash 2.0 相關的常見傳播媒介包括:
- 透過垃圾郵件、魚叉式網路釣魚或社群訊息平台傳遞的惡意附件或連結。
- 捆綁或帶有木馬的安裝程式偽裝成合法軟體、遊戲、媒體編解碼器或生產力工具。
- 透過受感染或惡意網站觸發的驅動程式下載,通常透過惡意廣告實現。
- 第三方、免費軟體和點對點下載管道的完整性控制較弱。
- 非法軟體「破解」、金鑰產生器和偽造的啟動實用程式會悄悄地傳遞有效載荷。
- 虛假更新提示(瀏覽器、外掛程式、作業系統或應用程式)安裝惡意軟體而不是修補程式。
一些威脅建構能夠橫向移動或自我傳播,試圖遍歷本機網路或將自身複製到可移動媒體(如 USB 隨身碟和外部磁碟)。
增強防禦的最佳安全實踐
- 維護版本化、離線且定期測試的備份。至少儲存一組離線備份(最好使用不可變儲存或一次寫入媒體)。
- 確保作業系統、應用程式、安全套件和韌體均已完全修補。在可行的情況下啟用自動更新。
- 部署具有行為勒索軟體偵測和回溯功能的知名反惡意軟體/EDR 解決方案。
- 使用電子郵件過濾、附件沙盒和連結掃描網關來降低網路釣魚風險;訓練使用者識別欺騙寄件者和意外附件。
結束語
Bash 2.0 勒索軟體展現了威脅行為者能夠多麼迅速地將現有程式碼庫改造成新的勒索工具。僅依賴基於簽名的檢測或最後一刻才做出反應的防禦者將始終處於劣勢。透過結合嚴謹的備份策略、強大的修補程式防護、分層的端點和電子郵件防禦、最小權限設計以及經驗豐富的回應方案,您可以大幅降低勒索軟體事件發生的可能性和影響。
訊息
找到以下與Bash 2.0勒索軟體相關的消息:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
