首页保安SunCrypt勒索软件:“迷宫勒索软件卡特尔”的新成员!

SunCrypt勒索软件:“迷宫勒索软件卡特尔”的新成员!

名为“ SunCrypt”的勒索软件已加入“迷宫勒索软件卡特尔”,并且有关这两个组织如何连接和一起工作的信息已经泄露。 的 黑客 在迷宫后面,建立了一个商业勒索软件卡特尔,以共享信息和技术,以帮助彼此勒索其潜在受害者。 当这个卡特尔开始时,它包括迷宫和 锁位,但很快有了Ragnar Locker的加入,进一步扩展了。


在一个 邮箱地址 SunCrypt勒索软件运营商发送给BleepingComputer,报告说它是Maze勒索软件卡特尔的新成员。 据估计,该勒索软件系列于2019年XNUMX月开始运行,但并不十分活跃。 SunCrypt团队还表示,它是Maze一家独立的勒索软件公司,但作为卡特尔的成员,他们之间有双向交流渠道。

SunCrypt勒索软件


当被问及为什么他加入卡特尔时,SunCrypt成员说Maze勒索软件团队需要外部帮助,因为它无法独自处理整个业务和运营空间。 SunCrypt勒索软件运营商还补充说,他们专门从事勒索软件 攻击。 此外,他们透露他们分享了成功业务的收益,但是没有提供与Maze团队合作的更多细节。 根据他们因为迷宫团队无法应对所有可能的攻击而决定加入卡特尔的声明,迷宫操作员可以向卡特尔成员提供 访问 在被破坏的网络中,以换取利润分享。


Ο 格鲁亚RS 发现了一个SunCrypt勒索软件样本,从而了解了它的工作方式。 具体来说,示例SunCrypt勒索软件是通过PowerShell脚本安装的,该脚本看起来非常模糊。

SunCrypt勒索软件功能

运行勒索软件时,它将登录到该地址 网址http://91.218.114.31 并传达有关攻击及其受害者的信息。 使用此IP地址可以提供另一种指示 服务 由迷宫黑客提供给卡特尔成员。


另外,几个月来,迷宫团队有一个泄漏现场 数据 以及来自已知公共IP地址的攻击。 但是,在此期间,该组的服务保持不变,并没有受到当局的压制。


地址 91.218.114.31 是迷宫操作员使用的地址之一 运动 其。 此外,迷宫感染还会携带信息 地址 攻击过程中的IP。 这个共享的IP地址可能意味着两件事-要么是Maze运营商正在共享其基础架构,要么是他们正在“目睹”勒索软件的策略和技术给其他组织。 同样,这种资源分配将解释为什么他们每次都能获得赎金。


特别是对于SunCrypt勒索软件,它以DLL的形式分发,运行时会加密 档案 一台计算机。 加密文件时,它会在每个文件名的末尾添加一个十六进制哈希。 但是,尚不清楚该碎片代表什么。

档案


此外,每个信封中都会创建一个付款通知 赎金 在名下 YOUR_FILES_ARE_ENCRYPTED.HTML,其中包含有关受害者文件中确切发生了什么的信息,以及指向Tor付款站点的链接。 勒索注释中包含的Tor链接在可执行勒索软件中编码。 这意味着,由特定的可执行SunCrypt加密的任何受害者都将具有相同的Tor付款站点链接。 Tor付款站点包含一个聊天屏幕,受害者可以在其中与SunCrypt运营商协商赎金。 此外,每个赎金记录都包含指向SunCrypt团队数据泄漏站点的链接,黑客在此处警告说,他们将共享从受害者那里提取的数据。

Suncrypt-迷宫勒索软件

值得注意的是,到目前为止,SunCrypt团队的数据泄漏站点上报告了五名受害者。

通知


其他勒索软件团体泄漏了网站或窃取了未加密的文件以勒索受害者,包括: CryLock,DoppelPaymer,迷宫,MountLocker,Ako,Avaddon,Clop,Conti,Nemty,Nephilim,Netwalker,Pysa / Mespinoza,Ragnar Locker,REvil,Sekhmet,Snatch和Snake。


最后,正在研究和分析SunCrypt中的漏洞,尚不清楚是否可以进行免费文件恢复。

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。

实时新闻