WasedLocker 勒索軟件

勒索軟件威脅通常使用不同的傳播技巧隨機針對毫無戒心的用戶。但是，新發現的 WastedLocker Ransomware 並非如此。看起來WastedLocker Ransomware 只針對位於美國的企業。在安全專家研究了這個新的文件鎖之後，他們發現它很可能是由開發和傳播臭名昭著的Dridex銀行木馬的網絡犯罪分子創建的。據研究人員稱，這些騙子還發起了宣傳BitPaymer Ransomware和Locky Ransomware 的活動。

本週惡意軟件第 13 集：Evil Corp 黑客被阻止部署 WastedLocker 勒索軟件

最近，勒索軟件威脅的作者一直在使用一種新技巧來進一步迫使受害者支付贖金。許多當代文件櫃威脅說，如果他們不付款，就會在網上洩露受害者的數據。如果攻擊者以公司為目標，這可能是一種特別有用的技術，因為企業傾向於擁有他們不想在線發布的敏感數據和機密文件。但是，WastedLocker Ransomware 創建者似乎並未使用這種技術，這讓惡意軟件分析師感到意外。然而，即使不使用這個技巧，WastedLocker Ransomware 也完全有能力對目標系統造成嚴重破壞。

WastedLocker 如何針對計算機

WastedLocker Ransomware 似乎是手動安裝在目標系統上的。安全研究人員認為，這是因為在加密文件時，WastedLocker Ransomware 會在受害者姓名旁邊附加".wasted"作為擴展名。 WastedLocker Ransomware 的作者似乎從 BitPaymer Ransomware 借用了一些代碼，因為這兩種威脅似乎具有一些相同的功能。

贖金費用似乎是按個人計算的。然而，攻擊者通常要求數百萬美元。據報導，到目前為止，WastedLocker Ransomware 設定的最高贖金費用約為 1000 萬美元。 WastedLocker Ransomware 的感染率很低，因為這種威脅的傳播不是自動化的，因為攻擊者只會針對他們精心挑選的特定目標部署它。

報告指出，沒有任何企業支付了 WastedLocker Ransomware 要求的天文數字贖金。不幸的是，WastedLocker Ransomware 不能免費解密。

WastedLocker 的 Payload 和分發方法是獨一無二的

WastedLocker 仍在使用 SocGholish 虛假更新框架來分發勒索軟件。該框架的主要目的是確定受害者的計算機是否屬於更大網絡的一部分。 JavaScript bot 從受害者那裡獲取大量系統信息，然後將其發送回 SocGholish 服務器。根據此信息，服務器向受害者返回有效負載。這是 Evil Corp 仍在使用的主要傳播方法。

為了保護其有效負載，WastedLocker 使用旨在增加熵和混淆真實代碼的垃圾代碼。負責這種混淆的加密器首先檢查系統註冊表中是否有兩個與 Windows 腳本接口相關的特定鍵，如果沒有找到，它要么自行終止，要么進入無限循環。在下一步中，加密器創建一個內存緩衝區，在該緩衝區中串接一系列數據 blob，並使用 XOR 算法解密該緩衝區。一旦解密完成，緩衝區就會顯示為負責部署真實有效載荷的 shellcode。 shellcode 創建一個新的緩衝區並複制其中的有效載荷，使用另一種 XOR 算法對其進行解密，最後將內存中的加密器代碼與有效載荷的代碼交換，然後跳到有效載荷的入口點。

在解密受害者係統上的任何文件之前，WastedLocker 首先運行一些例行檢查以確保順利運行。如果勒索軟件通過劫持注入勒索軟件的合法文件的新副本沒有管理員控制權，則該勒索軟件會使用在 Windows system32 目錄中找到的隨機可執行文件或 DLL 來提升其權限。

安全研究人員還發現了 WastedLocker 用來確定勒索軟件是在 32 位還是 64 位系統上運行的代碼中的一個錯誤。勒索軟件讀取 KUSER_SHARED_DATA 結構並檢查其指針的值。如果指針為零，則表示有效負載在 64 位系統上運行 32 位版本。但是，這不是適用於 Windows 10 系統的方法。

一旦WastedLocker 開始加密文件，它就會搜索所有類型的大型存儲設備，包括固定、可移動、共享和遠程驅動器。勒索軟件使用排除列表而不是加密文件類型的常見列表來工作。小於 10 字節的微型文件將被忽略，大文件被分塊並加密為 64MB 塊。加密使用 AES 算法。

WasedLocker 贖金記錄

對於每個加密文件，勒索軟件都會創建一個額外的贖金記錄。加密文件使用複雜的命名約定，其中包括目標組織或機構的名稱和浪費的後綴。這意味著名為"report.xlsx"的文件將變成"report.xlsx.targetnamewasted"。

WastedLocker 使用的贖金記錄如下：

[受害者/組織名稱]
您的網絡現已加密
使用 [電子郵件] | [EMAIL2] 獲取數據價格
請勿將此電子郵件發送給第 3 方
不要重命名或移動文件
該文件使用以下密鑰加密：
[關鍵開始]*[關鍵結束]
收下

WastedLocker 使用的加密排除列表如下：

• *.386
• *.adv
• *.ani
• *.bak
• *。蝙蝠
• *.bin
• *。出租車
• *.cmd
• *.com
• *.cpl
• *.cur
• *.dat
• *.diagcab
• *.diagcfg
• *.dll
• *.drv
• *。EXE文件
• *.幫助
• *.hta
• *.icl
• *.icns
• *.ics
• *.idx
• *.ini
• *。鑰匙
• *.lnk
• *.mod
• *.msc
• *.msi
• *.msp
• *.msstyles
• *.msu
• *.nls
• *.nomedia
• *.ocx
• *.ps1
• *。只讀存儲器
• *.rtp
• *.scr
• *.sdi
• *.shs
• *.sys
• *。主題
• *.themepack
• *.wim
• *.wpx