FONIX 勒索软件即服务采用四种加密方法,感染周期复杂

Andrew 2020-10-12
专栏 - 资讯 发布于 2020-10-12 10:19:28 阅读 38 评论 0

Fonix是SentinelLabs研究人员分析过的威胁环境中的一种新的勒索软件即服务。

FONIX是由Sentinel Labs的研究人员分析的相对较新的勒索软件即服务(RaaS),其运营商以前专门从事二进制加密程序/打包程序的开发。

FONIX RaaS背后的参与者在各种网络犯罪论坛上宣传了几种产品。

FONIX于2020年7月首次出现在威胁领域,幸运的是,与此威胁相关的感染数量仍然很小。

专家指出,勒索软件的作者并不需要支付费用就可以成为该服务的会员,运营商仅从其会员网络中保留一定比例的赎金。

专家认为,但是,如果安全公司和当局低估FONIX RaaS,它会很快变得猖獗。

“值得注意的是,FONIX与许多其他当前的RaaS产品有所不同,因为它对每个文件采用四种加密方法,并且感染后的参与周期过于复杂。” 读取Sentinel Labs发布的分析。

Fonix RaaS

与RaaS运营商的通信通过电子邮件进行。任何分支机构都必须从受害者系统向运营商提供文件,以获取受害者的解密器和密钥,然后,运营商会为他们保留25%的赎金。

“根据目前的情报,我们知道FONIX附属公司最初并未获得解密工具或密钥。相反,受害者首先如上所述通过电子邮件联系会员(买方)。该会员然后向受害者请求一些文件。其中包括两个用于解密的小文件:一个是向受害者提供证明,另一个是来自受感染主机的文件“ cpriv.key”。然后要求会员将这些文件发送给FONIX作者,由他们解密文件,然后将其发送给受害者。” 继续分析。

“大概,一一旦受害者对解密的可能性感到满意,会员就可以提供付款地址(BTC钱包)。然后,受害者向联营公司付款,联营公司又向FONIX作者提供25%的削减。”

显然,与大多数RaaS服务相比,上述过程有点复杂,而且用户友好性也大大降低。

FONIX勒索软件仅针对Windows系统,默认情况下会加密所有文件类型,但不包括关键Windows OS文件。

该勒索软件结合使用AES、Chacha、RSA和Salsa20来加密受害者的文件,并添加了.XINOF扩展名。专家指出,多重加密协议的使用使得加密过程明显慢于其他勒索软件。

以管理特权执行有效负载后,将进行以下系统更改:

  • 任务管理器已禁用
  • 通过计划任务,包含启动文件夹和注册表(运行AND RunOnce)可实现持久性
  • 系统文件权限已修改
  • 有效负载的持久副本将其属性设置为隐藏
  • 已创建隐藏服务以实现持久性(Windows 10)
  • 驱动器/卷标已更改(更改为“ XINOF”)
  • 卷影副本已删除(vssadmin,wmic)
  • 系统恢复选项被操作/禁用(bcdedit)
  • 操作安全启动选项

*“ FONIX感染特别具有攻击性-加密除系统文件以外的所有内容-一旦设备完全加密后就很难恢复。目前,FONIX似乎并未以不合规的其他后果(例如公共数据暴露或DDoS攻击)威胁受害者。” 总结报告。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!