RedEnergy Stealer

RedEnergy 是一種高度複雜的信息竊取程序，因其欺騙性策略和多方面的功能而臭名昭著。這種威脅軟件採用巧妙的偽裝，冒充各種流行網絡瀏覽器的虛假更新，從而針對廣泛的行業領域。通過利用這種偽裝，RedEnergy 成功滲透到毫無戒心的系統並執行其邪惡操作。

RedEnergy 的關鍵功能之一是它能夠熟練地從眾多不同的網絡瀏覽器中提取敏感信息。這使得惡意軟件能夠檢索登錄憑據、個人詳細信息和財務信息等有價值的數據，使個人和組織面臨數據盜竊和隱私洩露的巨大風險。跨多個瀏覽器收集信息的能力擴大了 RedEnergy 的覆蓋範圍和潛在影響，使其成為對用戶數字生活安全的潛在威脅。

此外，RedEnergy 還融入了促進勒索軟件活動的附加模塊，超越了其信息收集功能。這意味著，除了竊取有價值的數據外，該惡意軟件還有可能對受感染系統上的文件進行加密，並要求贖金才能釋放這些文件。 RedEnergy 的雙重功能將信息盜竊與部署勒索軟件的能力相結合，將其置於一個獨特的類別中，稱為“竊取勒索軟件”。

RedEnergy Stealer 偽裝成合法的瀏覽器更新

激活後，有害的 RedEnergy 可執行文件會掩蓋其真實身份，冒充合法的瀏覽器更新。 RedEnergy 巧妙地模仿 Google Chrome、Microsoft Edge、Firefox 和 Opera 等流行瀏覽器，旨在讓毫無戒心的用戶相信更新是真實且值得信賴的。

一旦用戶被誘騙下載並執行欺騙性更新，RedEnergy 就會將總共四個文件存儲到受感染的系統上。這些文件由兩個臨時文件和兩個可執行文件組成，其中之一用作不安全的有效負載。同時，惡意軟件會啟動一個額外的後台進程來代表惡意負載，確保其執行。當這個有效負載被釋放時，它會向不幸的受害者顯示一條侮辱性的消息，為其操作增加了一層額外的惡意意圖。

為了進一步加劇威脅，RedEnergy還配備了持久性機制。即使在用戶重新啟動或關閉計算機後，這種機制也使惡意軟件能夠保留在受感染的系統上。這確保了 RedEnergy 的持續運行及其不間斷地執行惡意活動的能力，從而擴大了其攻擊的影響和持續時間。

RedEnergy Stealer 能夠實施勒索軟件攻擊

RedEnergy 將勒索軟件模塊合併到其有效負載中，使其能夠加密受害者的寶貴數據。該威脅附加了“.FACKOFF!”所有加密文件名稱的擴展名。這種加密使文件無法訪問，並作為一種強製手段從受害者那裡提取贖金。為了進一步恐嚇和維護控制權，RedEnergy 向受害者提供了一條名為“read_it.txt”的贖金消息，其中概述了以付款換取解密密鑰的要求。作為一種附加策略，勒索軟件會更改桌面壁紙，以視覺方式提醒人們受到損害以及需要遵守攻擊者的要求。

為了不懈地破壞受害者恢復數據的能力，RedEnergy 實施的勒索軟件模塊還進行了另一種破壞性行為。他們的目標是影子驅動器，這是 Windows 操作系統中的一項功能，允許用戶創建文件備份。通過從影子驅動器中刪除數據，RedEnergy 有效地消除了任何可能幫助受害者恢復加密文件的潛在備份，從而加劇了遵守贖金要求的緊迫性和壓力。

此外，與 RedEnergy 相關的不安全可執行文件會操縱一個名為 Desktop.ini 的重要配置文件。該文件存儲文件系統文件夾的關鍵設置，包括其外觀和行為。通過這種操作，RedEnergy 獲得了修改文件系統文件夾外觀的能力，可能利用這種能力來隱藏其在受感染系統上的存在和活動。通過篡改desktop.ini 文件，RedEnergy 可以創建一個欺騙性環境，掩蓋其邪惡行為，並進一步阻礙受害者檢測和減輕勒索軟件影響的能力。

將勒索軟件模塊集成到 RedEnergy 的有效負載中，再加上文件加密、勒索消息的呈現以及桌面壁紙的更改，展示了該威脅所採用的惡意意圖和高級策略。從影子驅動器中刪除數據會消除潛在的數據恢復途徑，從而加劇了攻擊的嚴重性。通過強大的安全措施保護系統並在外部驅動器或云上維護最新備份對於減輕 RedEnergy 和類似惡意軟件威脅帶來的風險至關重要。