飘云阁安全网

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 992|回复: 3

[病毒分析] Hive勒索软件升级为Rust,采用更复杂的加密方法

[复制链接]
  • TA的每日心情
    开心
    2019-3-15 11:00
  • 签到天数: 262 天

    [LV.8]以坛为家I

    发表于 2022-7-6 15:45:13 | 显示全部楼层 |阅读模式
    原文地址:https://thehackernews.com/2022/0 ... es-to-rust-for.html
    翻译:梦幻的彼岸
    malware.jpg
    Hive勒索软件即服务(RaaS)计划的运营商已经对其文件加密软件进行了大修,以完全迁移到Rust,并采用了更复杂的加密方法。

    "Microsoft Threat Intelligence Center---微软威胁情报中心(MSTIC)在周二的一份报告中说:"随着它的最新变体携带几个主要的升级,Hive也证明了它是发展最快的勒索软件家族之一,体现了不断变化的勒索软件生态系统。

    2021年6月首次观察到的Hive已经成为最多产的RaaS集团之一,仅在2022年5月就占了17次攻击,与Black Basta和Conti并列。

    从GoLang到Rust的转变使Hive成为继BlackCat之后第二个用编程语言编写的勒索软件,使恶意软件能够获得额外的好处,如内存安全和对低级资源的更深入控制,以及利用广泛的加密库。

    它还提供了使恶意软件对逆向工程具有抵抗力的能力,使其更具规避性。此外,它还具有停止与安全解决方案相关联的服务和进程的功能,这些服务和进程可能会在其运行过程中停止。

    2.jpg
    Hive与其他勒索软件家族没有什么不同,它删除备份以防止恢复,但在新的基于Rust的变体中,变化很大的是它对文件加密的方法。

    "MSTIC解释说:"它不是在它加密的每个文件中嵌入一个加密的密钥,而是在内存中生成两套密钥,用它们来加密文件,然后加密并将这两套密钥写入它所加密的驱动器的根部,这两套密钥的扩展名都是.key。

    为了确定这两个密钥中的哪一个用于锁定一个特定的文件,一个加密文件被重新命名,以包括包含密钥的文件名,然后再加上一个下划线和一个Base64编码的字符串(例如,"C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8"),指向相应.key文件中的两个不同位置。

    Bleeping Computer本周报道说,这些发现是由于不太知名的AstraLocker勒索软件背后的威胁行为者停止运作并发布了一个解密工具,作为转向加密劫持的一部分。

    但有迹象表明,网络犯罪的形势在不断变化,网络安全研究人员发现了一个新的勒索软件家族,名为RedAlert(又名N13V),能够同时针对Windows和Linux VMWare ESXi服务器。
  • TA的每日心情

    前天 14:11
  • 签到天数: 167 天

    [LV.7]常住居民III

    发表于 2022-7-7 16:12:31 | 显示全部楼层
    过来学习,多谢分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    昨天 20:46
  • 签到天数: 807 天

    [LV.10]以坛为家III

    发表于 2022-7-7 21:43:21 | 显示全部楼层
    这东西阴魂不散啊
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    5 天前
  • 签到天数: 387 天

    [LV.9]以坛为家II

    发表于 2022-7-12 11:41:22 | 显示全部楼层
    难得好资料,好好收藏学习
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    小黑屋|手机版|Archiver|粤公网安备 44010602010026号|飘云阁安全网 ( 粤ICP备15107817号-2 )

    Powered by Discuz! Copyright © 2001-2022, Tencent Cloud.

    快速回复 返回顶部 返回列表