勒索軟體仍然是最具破壞性的惡意軟體之一,能夠重創個人、組織甚至整個產業。網路犯罪分子不斷改進其攻擊手段,發展出日益複雜的威脅,旨在加密文件、竊取資料並勒索受害者金錢。最近發現的一種勒索軟體變種 Kyber 勒索軟體,就體現了此類攻擊日益複雜和殘酷的一面,它警醒人們,保護系統免受不斷演變的網路威脅至關重要。
深入探究 Kyber 勒索軟體
網路安全專家在分析上傳到惡意軟體儲存庫 VirusTotal 的惡意樣本時發現了 Kyber 勒索軟體。一旦該勒索軟體入侵系統,Kyber 就會開始加密儲存的數據,並在每個受感染的檔案後面附加不常見的後綴「.#~~~」。例如,“1.png”或“2.pdf”等文件會被重新命名為“1.png.#~~~”和“2.pdf.#~~~”,從而有效地阻止使用者存取其自身內容。
除了檔案加密之外,勒索軟體還會釋放一個名為「READ_ME_NOW.txt」的勒索訊息。這些資訊告知受害者,他們的文件已使用 AES-256-CTR 演算法加密,這是一種強大的加密標準,旨在防止未經授權的資料恢復。攻擊者聲稱只有他們擁有必要的解密金鑰,嘗試獨立恢復文件或尋求執法部門的協助都將無法恢復。
為了加大壓力,勒索信警告稱,如果受害者在一到兩週內不遵守規定,大量竊取的數據將被公開。這種雙重勒索手段不僅可能造成資料遺失,還可能暴露敏感或機密資訊。受害者被指示使用基於 Tor 的聊天平台聯繫攻擊者,據稱這可以確保雙方的匿名性。
攻擊背後的機制
Kyber 勒索軟體是日益流行的網路攻擊趨勢的一部分,它將加密與資料竊取相結合,以最大限度地提高攻擊效果。此惡意軟體可以透過多種滲透管道進行部署。常見的感染媒介包括:
- 包含惡意附件或欺騙性連結的網路釣魚電子郵件。
- 利用軟體漏洞可以執行遠端程式碼。
- 託管驅動下載的虛假或受感染網站。
- 惡意廣告、點對點 (P2P) 檔案共用平台和不可信的安裝程式。
- 受感染的可移動媒體(例如 USB 隨身碟)會自動執行有害負載。
一旦執行,勒索軟體就會啟動一個進程,加密受害者的檔案並與遠端伺服器通訊以管理竊取的資料。由於加密依賴強大的加密方法,因此如果沒有攻擊者的唯一金鑰,解密幾乎是不可能的。
Kyber 感染的後果
成為 Kyber 勒索軟體的受害者可能會造成嚴重後果,而不僅僅是失去對個人或業務關鍵文件的存取權。雙重勒索機制會帶來聲譽和財務風險,因為洩漏的資訊可能會暴露知識產權、客戶資料或機密通訊。組織可能面臨營運中斷、監管處罰,甚至基本服務完全關閉。
即使受害者決定支付贖金,也無法保證攻擊者會提供可用的解密工具,也無法保證被盜資料不會被洩露。此外,支付贖金只會助長進一步的犯罪活動,並鼓勵犯罪者繼續犯罪。
加強防禦:最佳安全實踐
雖然 Kyber 勒索軟體構成了巨大的威脅,但用戶可以透過採取主動的網路安全措施來大幅降低感染風險。以下最佳實踐為預防勒索軟體攻擊奠定了堅實的基礎:
保持定期備份
建立重要資料的多個安全備份,並將其離線儲存或儲存在獨立的雲端環境中。定期測試備份完整性,以確保在需要時可以還原檔案。
保持軟體更新
作業系統、應用程式和韌體的安全更新和修補程式一經發布,請立即安裝。網路犯罪分子經常利用未修補的漏洞入侵系統。
使用強大的安全工具
部署信譽良好的防毒和反惡意軟體解決方案,能夠在勒索軟體執行之前偵測並阻止其運作。啟用即時保護並定期掃描系統以尋找威脅。
養成安全瀏覽和電子郵件的習慣
避免點擊可疑連結、下載未知寄件者的附件或接收未經請求的電子郵件。警惕那些營造緊迫感或索取個人資訊的郵件。
實施強大的存取控制
限制管理權限,強制執行多因素身份驗證 (MFA),並分段網路以防止在發生洩漏時發生橫向移動。
教育用戶和員工
意識培訓可協助使用者識別網路釣魚企圖、虛假軟體更新和社會工程計劃以及勒索軟體的常見網關。
最後的想法
Kyber 勒索軟體代表著網路犯罪分子與防禦者之間持續不斷的「軍備競賽」的另一個演變。它結合了強大的加密技術和資料外洩技術,凸顯了個人和組織保持警惕、實施分層防禦和維護可靠資料備份的必要性。在這個勒索軟體攻擊可以在幾分鐘內破壞整個網路的時代,主動的網路安全措施並非可有可無,而是數位生存的必要條件。
System Messages
The following system messages may be associated with Kyber勒索軟體:
#Hello, if you are seeing this then you have been attacked by Kyber Ransomware.
Your files are encrypted with the AES-256-CTR algorithm.
>--(Explanation) hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Two asymmetric algorithms X25519 and Kyber1024 were used for key generation.
>--(Explanation) hxxps://en.wikipedia.org/wiki/Curve25519
>--(Explanation) hxxps://en.wikipedia.org/wiki/Kyber
Keys are created from several random sources, so do not hope that you will return the files without our help
>--(Explanation) hxxps://en.wikipedia.org/wiki//dev/random
>--(Explanation) hxxps://en.wikipedia.org/wiki/RDRAND
>--(Explanation) hxxps://en.wikipedia.org/wiki/HKDF
(??WE HAVE A FLASH DRIVE WITH BACKUPS ON THE ADMIN'S NECK??)
>=======================================
> In addition to encrypting files, a lot of data has been downloaded from your network.
> If you don't write to us, within a week or two your name will end up on our
> blog with example of important data.
>=======================================
(??CAN WE TRUST HACKERS??)
>=======================================
> If you come to our chat room, you can count on free decryption for three small files.
> and examples of the downloaded data.
>=======================================
(??WE DON'T HAVE VALUABLE DATA??)
>=======================================
> We take a responsible approach to doing our job.
> We have probably downloaded a lot of personal information from your servers, and could
> cause you HUGE problems by publishing it.
# Documents such as payroll, statements, contracts and others may contain valuable data,
# the publication of which could lead to lawsuits.
>=======================================
(??WILL THE POLICE HELP??)
>=======================================
> DO NOT try to call the police as they will not save you from
> publishing your data, nor will they help you get your files back,
> they will only ban you from paying.
>=======================================
(??WHAT IF I TRIED TO TRICK YOU???)
>=======================================
> DO NOT modify the files, you may damage them and make it so
> we can't help you.
>=======================================
(??WHAT ABOUT THE ANONYMITY??)
>=======================================
> We create unique links to anonymous chat for each company.
> you don't have to worry, all the details of our deal will be kept secret.
> We also have alternative ways to contact us if you are worried and do
> not want to write in the panel.
>=======================================
HOW TO CONTACT US:
Download Tor Browser (hxxps://www.torproject.org/download)
Open it
Follow this link: -
(Also maybe you would like to visit our blog? Don't be shy!)
Blog:
|
