当Windows系统正饱受各类勒索软件之苦时，苹果macOS似乎都拥有“免死金牌”，但最近，研究人员发现了可能首款针对该系统的勒索软件。 据BleepingComputer 4月16日消息，臭名昭著的勒索软件组织LockBit首次创建了针对Mac的加密器，研究人员在 VirusTotal 上发现了一个 ZIP 存档，其中包含了一个名为“locker_Apple_M1_64”的加密器，能够针对运行在 Apple Silicon 上的较新版Mac。进一步研究发现，针对苹果 M1 芯片的加密器已于 2022 年 12 月上传到了 VirusTotal  ，表明这些样本已经流传了一段时间。 尚处于测试阶段的加密器 BleepingComputer 分析了 针对M1芯片 的 LockBit 加密器中的字符串，发现并不适用，表明这些字符串很可能是在测试中随意拼凑的，比如有许多来自 VMware ESXi 的引用， 而VMare自从苹果采用自研芯片之后就宣布不再对其进行支持。此外，加密器中好包含大量只适用于Windows系统中的文件格式，这些格式在 macOS 设备上均不支持。 这似乎说明，针对macOS的加密器还没有从真正意义上完成部署，也还无法投入到实际的攻击行动中。思科的安全研究人员Azim Khodjibaev认为，该加密器目前仅作为测试使用，从未打算部署在网络攻击中。macOS 网络安全专家 Patrick Wardle进一步证实了这一观点，即该加密器还未完成，因为它缺少正确加密 Mac 所需的功能。 虽然 Windows 一直是勒索软件攻击中最具针对性的操作系统，但显而易见，针对macOS系统的勒索软件开发者早已跃跃欲试，尤其是像LockBit 这种拥有强大技术实力、在勒索软件开发上追求极致的勒索软件组织，未来某一天如果真正出现能够攻击苹果系统产品的加密器也不足为奇。 因此，包括 Mac用户在内的所有计算机用户都应养成良好的在线安全习惯，包括及时更新操作系统、避免打开未知附件和可执行文件，并在登录网站时使用强而复杂的密码。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363777.html 封面来源于网络，如有侵权请联系删除

据 Citizen Lab 和微软的研究人员于4月11日公开的报告，一家以色列间谍公司开发出的间谍应用 Reign被用来感染iPhone设备，对多国记者、不同党派要员和非政府组织工作人员进行监视。 报告披露了这家名为QuaDream的间谍公司开发的这款间谍软件能够录制音频、拍照、跟踪位置和窃取密码，至少有10个国家或地区的政府曾进行采购。 Citizen Lab 表示，有证据表明，该间谍软件在苹果iOS系统中利用了被称之为“EndOfDays”的零日漏洞，该漏洞通过隐形的iCloud日历邀请感染了目标iPhone。为了消除证据，其所包含的代码不仅会删除特定电子邮件地址相关的日历事件，还会删除该设备使用某些苹果服务（如iMessenger）进行互动的iCloud账户记录。而受EndOfDays影响的系统版本涉及 iOS 14.4、iOS 14.4.2，该漏洞在最初的几个月内都未能获得补丁修复。微软披露了 200 多个据称与之相关的恶意活动，并与 Citizen Lab 共享了间谍软件样本。 研究人员已经确定了至少五名受害者，他们分别位于北美、中亚、东南亚、欧洲和中东，而Reign 运营商则分散在多地，包括保加利亚、捷克共和国、匈牙利和罗马尼亚，以及加纳、以色列、墨西哥、新加坡、阿拉伯联合酋长国和乌兹别克斯坦。 Citizen Lab 表示，QuaDream公开曝光的场合较少，甚至没有官方网站，路透社在 2022 年的一篇报道中曾提到，该公司员工被告知不要在社交媒体上提及他们的雇主。但Citizen Lab调查发现，QuaDream与一家名为 InReach 的塞浦路斯注册公司存在过一起法律纠纷，InReach 曾帮助QuaDream在国际上获得许可证，旨在避免出口管制。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363305.html 封面来源于网络，如有侵权请联系删除

Check Point Research （CPR） 和 Check Point 事件响应团队 （CPIRT） 的研究人员检测到一种前所未见的勒索软件，被称为 Rorschach 勒索软件，主要用于用于攻击一家美国公司。 专家指出，Rorschach勒索软件是独一无二的。根据Check Point发布的报告，Rorschach是迄今为止观察到的最快的勒索软件之一。 与其他勒索软件不同的是，新发现的Rorschach勒索病毒没有与任何以前已知的勒索软件集团关联。 这款勒索软件能够执行在企业范围内勒索软件部署期间手动执行的任务。在谈到受害者文件加密的速度时，专家表示 Rorschach是目前观察到最快的勒索软件之一。 “Rorschach”勒索软件采用了一种高效且快速的混合加密方案，该方案混合了curve25519和eSTREAM密码hc-128算法用于加密。这个过程只对原始文件内容的一个特定部分进行加密，而不是整个文件。WinAPI CryptGenRandom被用来生成加密的随机字节，作为每个受害者的私钥。共享密钥是通过curve25519计算的，使用生成的私钥和硬编码的公钥。最后，计算出的共享密钥的SHA512哈希值被用来构建eSTREAM密码hc-128的KEY和IV。 （混合加密） 研究人员将Rorschach加密的速度与Lockbit v.3进行了比较，后者需要大约7分钟来加密受害者的文件，而Rorschach只需4分30秒就能完成。事实证明，一个新的恶魔诞生了。 （赎金票据） 更恐怖的是，Rorschach勒索软件是高度可定制的。也就是说，通过调整加密线程的数量，它可以实现更快的速度。 Rorschach虽然不隶属于其他任何勒索软件组织，但它与其他赎金软件集团也有相似之处。例如，一些赎金票据类似于Yanluowang和DarkSide赎金票据，混合加密方案与Babuk赎金软件集团类似。同时，Rorschach和LockBit之间也有一些相似之处。 “Rorschach “的代码是用其他勒索软件不常见的方式进行保护和混淆的，并且在编译时进行了编译器优化，以尽可能地提高速度和代码内联。就目前来看，Rorschach 从“久负盛誉”的勒索软件集团中汲取了精华，然后加入了一些自己的独特功能。 在最近的观察中安全研究人员表示，在亚洲、欧洲和中东的中小型企业和工业公司也出现了Rorschach 的攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362741.html 封面来源于网络，如有侵权请联系删除  

自去年推出以来，ChatGPT以其撰写文章、诗歌、电影剧本等的能力在技术爱好者中引发轰动。该人工智能工具甚至可以生成功能性代码，只要给它一个写得很好、很清晰的提示。虽然大多数开发者会将该功能用于完全无害的目的，但一份新的报告表明，尽管OpenAI设置了保障措施，它也可以被恶意行为者用来创建恶意软件。 一位网络安全研究人员声称，他利用ChatGPT开发了一个零日漏洞攻击程序，可以从被攻击的设备中窃取数据。令人震惊的是，该恶意软件甚至逃避了VirusTotal上所有供应商的检测。 Forcepoint的Aaron Mulgrew说，他在恶意软件创建过程的早期就决定不自己编写任何代码，只使用先进的技术，这些技术通常是由像部分国家支持的复杂威胁行为者采用的。 Mulgrew将自己描述为恶意软件开发的”新手”，他使用的是Go执行语言，不仅因为它易于开发，而且还因为他可以在需要时手动调试代码。他还使用了隐写术，将秘密数据隐藏在普通文件或信息中，以避免被发现。 Mulgrew一开始直接要求ChatGPT开发恶意软件，但这让聊天机器人的护栏开始发挥作用，它以道德理由直截了当地拒绝执行这项任务。然后，他决定发挥创意，要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。 这一次，他的努力获得了成功，ChatGPT创造了包含入侵能力的代码，并且还绕过了VirusTotal上所有反恶意软件的检测。然而，要求编写混淆代码以避免检测被证明是棘手的，因为ChatGPT认识到这种要求是不道德的，并拒绝遵守它们。 尽管如此，Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时，有五个供应商将其标记为恶意软件。经过几次调整，代码被成功混淆，没有一个供应商将其识别为恶意软件。   Mulgrew说整个过程”只花了几个小时”。如果没有这个聊天机器人，他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件，并确保它能躲避安全应用程序的检测。 虽然Mulgrew创建恶意软件是为了研究目的，但他说，使用这种工具的理论上的零日攻击可以针对高价值的个人，渗透并发回计算机里的重要文件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7218626932374503975/ 封面来源于网络，如有侵权请联系删除

IBM Aspera Faspex 是一个被企业广泛采用的文件传输应用程序，以能够安全和快速传输大型文件而广受青睐。 安全专家警告说，IBM 于2022年12月8日在软件中修补的一个漏洞（可用于回避身份验证和远程利用代码）正在被多组使用加密恶意软件的攻击者滥用。 虽然该漏洞在12月被修补，但IBM并没有立即详细说明该漏洞随后便在更新中修复了漏洞。在1月26日的安全警报中，IBM表示，该漏洞被命名为CVE-2022-47986，CVSS基本评分为9.8，可允许远程攻击者在系统上执行任意代码。 随后，恶意活动追踪组织Shadowserver在2月13日警告说，他们发现攻击者试图利用Aspera Faspex未更新版本中的CVE-2022-47986。 软件开发商Raphael Mendonça 2月16日报告说，一个名为BuhtiRansom的组织正在 用CVE-2022-47986加密多个服务器。 Buhti是一个相对较新的勒索软件组织，今年2月，该组织引导受害者通过 SatoshiDisk.com，一个目前托管在Cloudflare IP上支持比特币来支付赎金的网站。 勒索软件组织针对文件传输软件或设备也不是什么新鲜事了。Clop集团在最近几个月针对Fortra公司广泛使用的文件传输软件GoAnywhere MFT的用户进行了大规模的攻击活动。通过利用一个零日漏洞以及对于以前版本未更新的用户，目前已经有超过130名受害者。 安全公司Rapid7本周建议Aspera Faspex用户立即将他们的软件卸载，或者将其升级到有补丁的版本。 该漏洞是Ruby on Rails代码中的一个反序列化漏洞，存在于IBM Aspera Faspex 4.4.2版及以前的版本中。IBM通过删除API调用来修复该漏洞。用户也可以升级到Faspex 5.x版本来避免该漏洞。 IceFire针对文件传输软件 Buhti不是唯一攻击IBM文件传输软件的勒索软件组织。SentinelOne的威胁情报部门SentinelLabs在3月9日报告说，他们观察到CVE-2022-47986被IceFire利用。 该组织以前专注于攻击Windows系统，以双重勒索战术为基础，喜欢猎杀大型游戏。从以前的报告中看，IceFire喜欢以技术公司为目标；然而SentinelLabs观察到最近他们开始转向针对媒体和娱乐部门发起攻击。 SentinelOne表示，在最新的活动中，该组织首次通过Aspera漏洞开始打击Linux系统。对Linux 发起勒索软件攻击比对Windows更困难，因为Linux往往在服务器上运行，这意味着传统的感染载体，如网络钓鱼或驱动式下载无法生效。也因此攻击者转向利用应用程序的漏洞，正如IceFire通过IBM Aspera漏洞部署有效载荷所证明的那样。当然，Buhti勒索软件组织也是如此。 发现CVE-2022-47986的功劳归功于连续安全平台Assetnote的安全研究人员Maxwell Garrett和Shubham Shah。他们在2022年10月6日向IBM报告了这个漏洞，并在2月2日发布了公开的细节，以及概念验证的利用代码。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362413.html 封面来源于网络，如有侵权请联系删除

谷歌威胁分析小组（TAG）透露，去年解决的一些零日漏洞被商业间谍软件供应商利用，以Android和iOS设备为目标。 这两个不同的活动都有很强的针对性，利用补丁发布与目标设备上实际修复之间的时间差。 这些供应商正在使危险的黑客工具的扩散，武装那些无法在内部开发这些能力的政府，TAG的Clement Lecigne在一份新报告中说。 虽然根据国家或国际法律，监控技术的使用部分是合法的，但人们经常发现有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。 这两次行动中的第一次发生在2022年11月，通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送缩短的链接。点击后，这些URL将收件人重定向到承载安卓或iOS漏洞的网页，然后他们又被重定向到合法的新闻或货运追踪网站。 iOS的漏洞链利用了多个漏洞，包括CVE-2022-42856（当时的零日）、CVE-2021-30900和一个指针认证代码（PAC）绕过，将一个.IPA文件安装到易受影响的设备上。 安卓系统的漏洞链包括三个漏洞–CVE-2022-3723、CVE-2022-4135（滥用时为零日）和CVE-2022-38181以传递一个未指定的有效载荷。 虽然CVE-2022-38181是一个影响Mali GPU内核驱动的特权升级漏洞，在2022年8月被Arm打了补丁，但对方可能在补丁发布之前已经掌握了该漏洞的利用方法。 另一点值得注意的是，点击链接在三星浏览器中打开的安卓用户，被使用一种称为意图重定向的方法重定向到Chrome。 第二个活动是在2022年12月观察到的，包括几个针对最新版本的三星浏览器的零日和n日，这些漏洞通过短信作为一次性链接发送到位于阿联酋的设备。 该网页与西班牙间谍软件公司Variston IT使用的网页类似，都植入了一个基于C++的恶意工具包，能够从聊天和浏览器应用程序中获取数据。 被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。据信，该漏洞链被瓦里斯顿信息技术公司的一个客户或合作伙伴所利用。 目前，这两个活动的规模和目标的性质目前还不清楚。 在拜登签署“限制使用商业间谍软件”的行政命令几天后，这些消息就被披露出来。足以见得，商业间谍软件行业任然在蓬勃发展。监控供应商之间正在分享漏洞和技术，即使是较小的监控供应商也能获得零日漏洞。供应商秘密储存和使用零日漏洞在短时间内对互联网仍构成严重的风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362018.html 封面来源于网络，如有侵权请联系删除

拜登政府正试图钳制政府使用商业间谍软件，这些软件也可能被其他国家用来损害其利益。总统已经签署了一项行政命令，称联邦机构不能使用”对美国政府构成重大反间谍或安全风险或被外国政府或外国人士不当使用的重大风险”的间谍软件。 该命令确切地说明了什么是间谍软件–在用户不知情的情况下从设备中窃取信息和数据的软件–被美国政府使用的资格。如果是这样就不允许： 被外国个人或政府用来攻击美国政府 被一个有意在未经美国政府许可的情况下发布有关美国政府活动的”非公开信息”的实体出售 “在试图监视美国的”外国政府或外国人士的直接或有效控制之下 被用于监视美国公民或通过监视活动家、学者、记者、持不同政见者、政治人物或非政府组织成员或边缘化社区来侵犯人权 还出售给”从事系统的政治镇压行为，包括任意逮捕或拘留、酷刑、法外或出于政治动机的杀戮，或其他严重侵犯人权的国家”。 政府机构在确定某件间谍软件是否符合这些条件时，确实有一点回旋余地。如果开发商在得知此事后采取了”适当的措施”，如取消违规方的合同或与美国合作”反击”该软件的不当使用，那么该间谍软件被用来对付美国也是可以的。政府还必须考虑间谍软件供应商在出售软件时是否”知道或有理由知道”该软件会被滥用。 白宫官员并没有具体说明被禁止的确切软件列表，但现在有许多公开的商业间谍软件应用为政府提供服务(还有更多的黑市中售卖的软件）。 虽然该命令不是对间谍软件的彻底禁止，但它可能排除了市场上的许多产品。除非该软件是专门卖给美国政府的，否则几乎没有办法确定外国实体是否也在使用它来针对美国或该命令所保护的人群类型。 例如，NSO集团的PegASUS（飞马）间谍软件据称有保障措施；该公司声称它只出售给经以色列国防部批准的政府机构。记者发现，这种间谍软件可以悄悄地入侵手机，窃取和记录各种数据，很可能被一些政府用来对付国家元首、记者、活动家和其他人(据称联邦调查局也考虑过使用它）。 Pegasus在美国已经被完全禁止；2021年，美国商务部将NSO和Candiru一起列入其实体名单，禁止美国公司与它做生意。例如，据《纽约时报》报道，这意味着它不能从戴尔和微软等公司购买硬件和软件。然而，Pegasus远不是政府使用的唯一间谍软件。据报道，一名Meta公司的员工的手机被希腊国家情报机构使用Cytrox的Predator间谍软件入侵。 值得注意的是，这项命令将间谍软件定义为可以让你在未经授权的情况下进入一台电脑，从而获取电脑上的数据，从电脑上录制音频和视频，或追踪其位置的软件。政府经常使用黄貂鱼（Stingray）等技术跟踪人们的位置，或通过其他方式获得数据，如支付数据经纪人。人们可能会认为这是他们的手机被用来监视他们，但提供这些数据的应用程序并没有被算作间谍软件。 沿着这条线索，该命令明确指出外国政府或人们使用间谍软件来针对记者、政治家和活动家。然而，美国政府也有在其境内外对这些群体的人进行电子监控的历史。 政府并不是唯一对这样的间谍软件采取行动的实体。例如，苹果公司已经起诉了NSO集团，并为其设备引入了”锁定模式”，旨在使其更难在设备上远程安装间谍软件。       转自 cnBeta，原文链接：https://www.toutiao.com/article/7215356825724518972/ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Emotet 恶意软件以美国纳税人为目标，冒充美国国税局向受害者发送 W-9 纳税申报表，进行钓鱼活动。 Emotet 作为一款臭名昭著的恶意软件，主要通过网络钓鱼电子邮件传播，这些电子邮件包含带有恶意宏的 Microsoft Word 和 Excel 文档。在微软默认阻止下载的 Office 文档中存在宏后，Emotet 转而使用带有嵌入式脚本的 Microsoft OneNote 文件来安装 Emotet 恶意软件。 据悉，一旦安装了 Emotet，该恶意软件便会窃取受害者的电子邮件，用于未来的回复链攻击，发送更多的垃圾邮件，并安装其它恶意软件，为勒索软件团伙等其它威胁郭建者提供初始访问权限。 Emotet 为美国税收做好了“准备” Emotet 恶意软件通常使用“主题式”钓鱼活动，以搭上假期和年度商业活动的便车，例如当前的美国纳税季。在 Malwarebytes 和 Palo Alto Networks Unit42 安全研究人员观察到的新网络钓鱼活动中，Emotet 恶意软件以纳税人为目标，发送附有虚假 W-9 纳税表附件的电子邮件。 Malwarebytes 研究人员发现，威胁攻击者冒充美国国税局的“检查员”，发送标题为“美国国税局纳税申报表 W-9”的电子邮件。 在这些钓鱼电子邮件中有一个名为“W-9 form.ZIP”的 ZIP 存档，其中包含了一个恶意的 Word 文档。此Word 文档已“膨胀”到 500MB 以上，使安全软件更难检测到它是恶意的。 冒充国税局的 Emotet 电子邮件（来源： Malwarebytes） 目前，微软默认阻止宏，用户不太可能遇到启用宏的麻烦，也不太可能使用恶意 Word 文档感染宏。 Emotet Word 文档（来源： BleepingComputer） 在 Unit42 Brad Duncan 观察到的 Emotet 网络钓鱼活动中，攻击者通过使用带有嵌入 VBScript 文件的Microsoft OneNote 文档来绕过这些限制，这些文件安装了 Emotet 恶意软件。 此外，网络钓鱼活动使用回复链电子邮件，其中包含假装来自向用户发送 W-9 表格的业务合作伙伴的电子邮件，如下所示： 带有恶意的微软 OneNote 附件的 Emotet 回复链电子邮件（来源：Unit42） 所附的 OneNote 文件将假装受到保护，要求用户双击 “查看 “按钮，查看文件。但是，隐藏在 “查看 “按钮下面的是一个 VBScript 文档，它将被同步启动。 冒充 W-9 表格的恶意微软 OneNote 文件（资料来源：BleepingComputer：） 在启动嵌入式 VBScript 文件时，微软 OneNote 会警告用户该文件可能是恶意的。不幸的是，“历史经验”告诉我们，许多用户无视这些警告，只是让文件运行。 一旦执行，VBScript 将下载 Emotet DLL 并使用 regsvr32.exe 运行它。此后，该恶意软件现在将悄悄地在后台运行，窃取电子邮件、联系人，并等待进一步的有效载荷安装到设备上。 最后提醒用户，如果收到任何声称是 W-9 或其他税表的电子邮件，首先应使用本地杀毒软件扫描这些文件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361692.html 封面来源于网络，如有侵权请联系删除  

一个新生的勒索软件团伙突然出现在舞台上，在不到一个月的时间里至少侵入了10个组织。 这个被Trellix研究人员命名为 “Dark Power”的团伙，在大多数方面与其他勒索软件团伙一样。但是，由于其速度之快以及其对Nim编程语言的使用，使其迅速“走红”。 该勒索软件团伙第一次出现在大众视野之下是在2月底的时候。然而，距离现在仅仅不到一个月的时间已经有10名受害者受到了影响。并且”Dark Power”的攻击目标似乎没有任何规律可言。该组织在阿尔及利亚、捷克共和国、埃及、法国、以色列、秘鲁、土耳其和美国增都有活动，涉及农业、教育、医疗、IT和制造部门。 利用Nim作为一种优势 “Dark Power”与众不同的地方在于它对编程语言的选择。 现在似乎有一种趋势，网络犯罪分子正在扩展到其他编程语言。而且这一趋势正在威胁者中迅速蔓延。 “Dark Power”使用Nim编程语言，这是一种高级语言。Nim 最初是一种晦涩难懂的语言，但现在在恶意软件创造方面却更加容易使用，而且它有跨平台的能力。这也使得防守者更难跟上。 其他了解 攻击本身遵循一个老套的勒索软件剧本： 通过电子邮件对受害者进行诱导，下载并加密文件，要求赎金，并多次敲诈受害者，无论他们是否付款。 该团伙还从事典型的双重勒索。在受害者知道他们被入侵之前，”Dark Power” 已经收集了他们的敏感数据。然后他们用它来进行第二次勒索。如果你不付钱，我们将把信息公开或在暗网上出售。 因此，企业需要有政策和程序来保护自己，包括检测Nim二进制文件的能力。同时制定一个非常精确的事件响应计划。只有这样才可以在攻击发生时减少其影响。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361688.html 封面来源于网络，如有侵权请联系删除

近日，出现了一种名为“Dark Power”（暗网）的新勒索软件操作，它已经在一个暗网数据泄露网站上列出了第一批受害者，并威胁说如果不支付赎金就公布数据。 勒索软件团伙的加密器的编译日期是 2023 年 1 月 29 日，即攻击开始的时间。 此外，该操作尚未在任何黑客论坛或暗网空间上推广；因此它可能是一个私人项目。 据分析 Dark Power 的Trellix称，这是一种针对全球组织的机会主义勒索软件操作，要求支付相对较小的 10,000 美元赎金。 黑暗力量攻击细节 Dark Power 有效载荷是用 Nim 编写的，Nim 是一种跨平台编程语言，具有多个与速度相关的优势，使其适用于性能关键型应用程序，如勒索软件。 此外，由于 Nim 现在才开始在网络犯罪分子中越来越受欢迎，它通常被认为是不太可能被防御工具检测到的利基选择。 Trellix 没有提供有关 Dark Power 感染点的详细信息，但它可能是一种利用、网络钓鱼电子邮件或其他方式。 执行时，勒索软件会创建一个随机的 64 个字符长的 ASCII 字符串，用于在每次执行时使用唯一密钥初始化加密算法。 接下来，勒索软件会终止受害者机器上的特定服务和进程，以释放文件进行加密，并最大限度地减少任何阻止文件锁定进程的可能性。 在此阶段，勒索软件还会停止其硬编码列表中的卷影复制服务 (VSS)、数据备份服务和反恶意软件产品。   终止的进程和服务 杀死上述所有服务后，勒索病毒会休眠30秒，并清除控制台和Windows系统日志，以防止数据恢复专家分析。 加密使用 AES（CRT 模式）和启动时生成的 ASCII 字符串。生成的文件被重命名为“.dark_power”扩展名。 有趣的是，该勒索软件有两个版本在野外流传，每个版本都有不同的加密密钥方案。 第一个变体使用 SHA-256 算法对 ASCII 字符串进行哈希处理，然后将结果分成两半，使用第一部分作为 AES 密钥，第二部分作为初始化向量 (nonce)。 第二种变体使用 SHA-256 摘要作为 AES 密钥，并使用固定的 128 位值作为加密随机数。 DLL、LIB、INI、CDM、LNK、BIN 和 MSI 等系统关键文件，以及程序文件和网络浏览器文件夹，都被排除在加密之外，以保持受感染计算机的运行，从而使受害者能够查看赎金注意并联系攻击者。 从加密中排除的文件和文件夹 赎金票据最后一次修改是在 2023 年 2 月 9 日，它给受害者 72 小时的时间将 10,000 美元的 XMR（门罗币）发送到提供的钱包地址，以获得可用的解密器。 与其他勒索软件操作相比，Dark Power 的赎金记录很突出，因为它是一个 8 页的 PDF 文档，其中包含有关发生的事情以及如何通过 qTox 信使联系他们的信息。 受害者和活动 截止到目前，Dark Power 的 Tor 站点处于离线状态。然而，随着与受害者谈判的深入，勒索软件门户定期下线的情况并不少见。 Trellix 报告说，它已经看到来自美国、法国、以色列、土耳其、捷克共和国、阿尔及利亚、埃及和秘鲁的十名受害者，因此目标范围是全球性的。 Dark Power 组织声称从这些组织的网络中窃取了数据，并威胁说如果他们不支付赎金，就会公开这些数据，所以它又是一个双重勒索组织。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/-1ixwbvB-1IIW2sSAwZXeA 封面来源于网络，如有侵权请联系删除