Night Sky Ransomware
威脅評分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威脅記分卡是我們的研究團隊收集和分析的不同惡意軟件威脅的評估報告。 EnigmaSoft 威脅記分卡使用多種指標對威脅進行評估和排名,包括現實世界和潛在的風險因素、趨勢、頻率、普遍性和持續性。 EnigmaSoft 威脅記分卡根據我們的研究數據和指標定期更新,對范圍廣泛的計算機用戶非常有用,從尋求解決方案以從其係統中刪除惡意軟件的最終用戶到分析威脅的安全專家。
EnigmaSoft 威脅記分卡顯示各種有用的信息,包括:
排名:特定威脅在 EnigmaSoft 的威脅數據庫中的排名。
嚴重級別:根據我們的風險建模過程和研究確定的對象嚴重級別,以數字表示,如我們的威脅評估標準中所述。
受感染的計算機:根據 SpyHunter 的報告,在受感染的計算機上檢測到的特定威脅的已確認和疑似案例的數量。
另請參閱威脅評估標準。
威胁级别: | 100 % (高的) |
受感染的计算机: | 4 |
初见: | January 7, 2022 |
最后一次露面: | April 26, 2023 |
受影响的操作系统: | Windows |
一些網絡犯罪分子決定不在假期休息,而是專注於為他們的勒索軟件攻擊尋找新的受害者。其中一個小組由新發現的夜空勒索軟件威脅背後的黑客組成。研究人員首先發現了這種特殊的惡意軟件,他們認為夜空行動於 2021 年 12 月 27 日啟動。僅僅一個多星期後,夜空威脅就成功感染了兩名企業受害者,一名來自日本,一名來自孟加拉國。
技術細節
與大多數針對企業實體的勒索軟件操作一樣,夜空勒索軟件網絡犯罪分子也使用兩種不同的勒索策略。他們鎖定存儲在受感染計算機上的關鍵文件,但在將它們洩露到自己的服務器之前不會。之後,他們威脅不願支付贖金的受害者,將收集的數據出售給競爭對手或通過專門的洩密站點向公眾發布。
至於 Night Sky Ransomware 本身,該威脅使用不可破解的加密算法來鎖定大量文件類型。唯一會保持原樣的是那些帶有 .dll 的。和 .exe 擴展名,因為篡改它們,可能會導致設備上的操作系統發生故障或遇到嚴重錯誤。出於同樣的原因,勒索軟件還將避免加密 30 個特別選擇的文件和文件夾的列表大約。其中包括 AppData、Boot、Windows、ProgramData、boot.ini、ntldr 等。所有其他文件都將被加密,並在其原始名稱後附加“.nightsky”。
贖金票據概述
完成加密過程後,Night Sky Ransomware 將在每個包含鎖定數據的文件夾中放置一個贖金記錄文件。這些新創建的文件將命名為“NightSkyReadMe.hta”。它們包含針對特定受害者個性化的要求贖金的消息。因此,包括贖金金額在內的一些細節可能會有所不同。目前的證據表明,夜空行動的兩名當前受害者之一已被要求支付 800,000 美元以獲得解密工具並避免其數據被洩露。
贖金記錄還包含網絡犯罪分子談判頁面的硬編碼登錄憑據。與其他此類黑客組織不同,Night Sky 不使用 Tor 網站進行交流。相反,受害者被引導到一個運行 Rocket.Chat 的普通網站。然而,包含受害者數據的組的洩漏站點確實託管在 Tor 網絡上。