FreeBuf不能低估的“对手”:FONIX勒索软件及服务
FONIX, 一种新的勒索软件即服务(RaaS)产品 。
事实上 , FONIX于 2020 年 7 月才首次出现在威胁环境中 , 与这种威胁相关的感染数量仍然很少 , 但绝不能被轻易低估 。
专家指出 , 该勒索软件作者不要求威胁分发者支付任何费用来加入其中 , 只需要拿走威胁分发者获得的赎金的一定百分比 。 和许多其他当前 RaaS 产品略有不同 , FONIX对每个文件采用四种加密方法 , 并且感染后解密周期过于复杂 。
本文插图
威胁分发者通过电子邮件与作者进行通信 , 以获得针对受害者的解密程序和密钥 。 与之相对的 , 分发者会为作者保留25%赎金 。
根据当前情报 , FONIX关联公司或者说威胁分发者一开始不会获得解密程序或密钥 。 正常情况下 , 在受害者通过电子邮件联系威胁分发者后 , 威胁分发者受害者会要求受害者提供一些文件 。 其中包括两个用于解密的小文件:一个是证明被加密的证据 , 另一个是来自受感染主机的文件”cpriv.key” 。 然后 , 威胁分发者会将这些文件发送给FONIX作者 , 作者解密文件后发送给受害者 。 当受害者确信解密是可信的 , 分发者就会提供付款地址(BTC 钱包) 。 然后 , 受害者支付报酬 , 然后分发者会和FONIX 作者分成 。
显然 , 上述流程比大多数 RaaS 服务更复杂 , 用户友好程度也更低 。
目前 , FONIX 勒索软件仅针对 Windows 系统 , 默认情况下它加密所有文件类型 , 不包括关键的 Windows OS 文件 。 此外 , 该勒索软件使用 AES、Chacha、RSA 和 Salsa20 的组合来加密受害者的文件 , 并且添加了一个XINOF 扩展 。 这类多种加密协议使得加密过程比其他勒索软件慢得多 , 而使用管理权限执行有效负载后 , 将进行以下系统更改:
禁用任务管理器
通过计划任务、启动包含和注册表(运行和运行一次)的文件夹实现持久性
修改系统文件权限
有效负载的持久副本将其归因于隐藏
【FreeBuf不能低估的“对手”:FONIX勒索软件及服务】为持久性创建隐藏服务(Windows 10)
更改驱动器/音量标签(更改为”XINOF”)
删除卷卷副本将(vssadmin , wmic)
系统恢复选项被操控 / 禁用( bcdedit )
安全引导选项被操控
FONIX 感染具有明显攻击性 , 即加密系统文件以外的所有内容, 并且一旦设备完全加密 , 就很难恢复 。 不过 , 目前FONIX似乎并没有通过数据公开来威胁受害者 。
参考来源:
本文插图
本文插图
推荐阅读
![[令狐冲]武侠剧中练成易筋经的七大强者,令狐冲垫底,第二可以抗衡石破天](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/upload/2020/8836997b86c266510007c7695d4ef992.jpg)
- 吴京|投资4亿3个月拍完!吴京这次的王炸电影,能不能炸出40亿的票房?
- 小莹游戏故事|被低估的ADC:走A怪韩服发挥出色 RNG铁粉送出走心祝福
- 体罚|不能忍受侮辱和体罚,12岁的她跳楼瘫痪:我说过,我早就不想活了
- 寰洋航空|飞机上有什么东西不能带?
- 七木呆瓜仙境|看着茫茫的水资源,却不能下手,班公湖旁的印度人:我们太难了
- 交易|中国股市一位交易员的血泪感悟:为何不能死扛一个股票?不简单!
- 王者荣耀|不要低估一颗买皮肤的心,女玩家深夜发红包,只为拉票一生所爱
- 戏说健康|对于许多老师都头疼的公开课, 怎样预备才好? 这些细节不能忽略
- 985大学|高考想要冲刺985大学, 这2门课程不能落下,成绩要在120分以上
- 强国兵器|中国也有?王云飞:不能因一时制敌手段沾沾自喜,美海军“偏科”