安全是有分量的

云防护_苹果高防手机怎么样_如何防

2022-06-19 07:20栏目:创投界

云防护_苹果高防手机怎么样_如何防

Conti勒索软件是一种即将推出的针对公司网络的威胁,它具有新的功能,阿里ddos防御价格,可以执行更快、更有针对性的攻击。还有迹象表明,该勒索软件与Ryuk共享相同的恶意软件代码,Ryuk已经慢慢消失,而Conti的发行量正在增加。

Conti是BleepingComputer于2020年6月初开始跟踪的企业目标勒索软件。

勒索软件首次出现在2019年12月底的孤立袭击中。随着时间的推移,攻击慢慢增加,直到6月底,我们在勒索软件识别网站ID勒索软件上看到受害者增加。

与这一类别中的其他勒索软件感染一样,Conti运营商将破坏公司网络并横向传播,直到他们获得域管理员凭据。一旦获得管理权限,威胁参与者就会部署勒索软件对其设备进行加密。

目前尚不清楚Conti运营商是否在加密之前从受害者的网络中窃取文件。

2017年8月,爱马仕勒索软件被该公司出售。在一个讲俄语的威胁演员的黑客论坛上。

高级英特尔公司的Vitali Kremez认为,威胁行为人可能购买了这家勒索软件制造商,并将其改造成Ryuk。

在某种程度上,使用Ryuk的威胁行为人分裂、重新标记或决定转换为"Conti"名称,美国高防cdnhostloc,该名称似乎基于Ryuk版本2的代码。

除了恶意软件代码的相似性外,还发现了一个更具描述性的Conti ransom说明,该说明使用了Ryuk在早期攻击中使用的相同模板。

除了赎金记录外,Kremez还发现Ryuk和Conti威胁行动方使用了相同的TrickBot基础设施作为赎金软件攻击的一部分。

"基于多个事件响应事项和当前评估,相信Conti ransomware基于代码重用和独特的DoToBoT分发与相同的Ruk RANSOWER开发者组链接。相同的分布攻击向量被Ruk部署组广泛使用,百度cdn如何防御ddos,"Kremez在对话中告诉BleepingComputer。关于两个勒索软件。

虽然尚不完全清楚Conti是否是Ryuk的继任者,但ID勒索软件上的提交图清楚地显示Conti攻击在增加,Ryuk在减少。

在炭黑公司的一份新报告中,研究人员深入了解了Conti勒索软件中发现的一些有趣的功能。

据研究人员称,当第一次启动时,Conti将停止146项与安全、备份、数据库和电子邮件解决方案相关的Windows服务,为计算机加密做好准备。

勒索软件随后将清除卷影副本并开始加密计算机。

加密计算机时,勒索软件将附加密码。CONTI扩展到加密文件,并放置一张名为CONTI_README的赎金便条。每个文件夹中都有txt文件。

6月分析加密算法的Michael Gillespie告诉BleepingComputer,在加密数据时,勒索软件将为每个文件使用唯一的AES-256加密密钥,然后使用捆绑的RSA-4096公钥进行加密。

每个受害者的RSA密钥都是唯一的。

与BleepingComputer看到的大多数勒索软件不同,Conti的勒索记录包含了关于攻击和如何联系攻击者的最简单的细节,这与Ryuk创建勒索记录的方式类似。

Coveware的Bill Siegel告诉BleepingComputer,这种勒索软件的平均勒索需求不到10万美元。与其他类似勒索软件感染相比,该金额相对较低。

Conti支持一个"--encrypt_mode"参数,该参数修改勒索软件的默认行为,以优化加密过程。

使用"-encrypt_mode local"时,仅加密本地驱动器;使用"-encrypt_mode network"时,仅加密网络共享。

Conti还支持"-h"参数,以指定加密目标的IP地址列表。

勒索软件的其他一些有趣功能如下所述。

炭黑指出,加密设备时,Conti将使用多个线程同时加密不同的文件。

虽然多线程勒索软件并不新鲜,但Conti使用的32个线程非常突出,可以让勒索软件以非常快的速度对机器进行加密。

然而,这种速度需要权衡,正如在BleepingComputer的测试中,我们看到CPU和磁盘利用率显著增加,微信ddos防御算法,有效的ddos防御方案有哪些,导致机器减速并变得迟缓。

这些症状很容易引发怀疑,并导致用户调查其计算机可能存在的问题,从而发现勒索软件。

由于大多数勒索软件攻击发生在数小时后,这可能不是什么大问题,因为在加密过程中不会使用计算机。

使用Windows重新启动管理器关闭打开的文件

加密文件时,Conti将使用名为"Windows重新启动管理器"的Windows API,该API将终止加密期间保持文件打开的进程或Windows服务。

由微软创建的勒索软件是为了在不重启的情况下更容易安装软件更新,现在勒索软件感染者开始利用它来加密数据库和其他重要文件,这些文件在被另一个进程打开时无法访问。

"重新启动管理器API可以消除或减少完成安装或更新所需的系统重新启动次数。软件更新要求在安装或更新期间重新启动系统的主要原因是,正在更新的某些文件当前正由正在运行的应用程序或服务使用。其余的art Manager允许关闭和重新启动除关键系统服务外的所有系统服务。这将释放正在使用的文件,并允许完成安装操作,"微软在其API文档中解释道,

Conti并不是第一个使用此API的勒索软件。

REvil(Sodinokibi)、Medusa Locker、SamSam和LockerGoga也在加密过程中使用Windows重新启动管理器API,在某些情况下还使用解密过程。

随着Conti发行量的增加和高级功能的增加,我们需要密切关注这款勒索软件。

关联文件名:

关联电子邮件:

赎金通知文本: