勒索软件将计算机以安全模式重开机以躲过杀毒侦测

勒索软件演化出新手法,安全研究人员近来发现,一只勒索软件在网络流传感染Windows计算机,能让计算机重新开机进入安全模式再对文件加密,以躲避杀毒软件的侦测。

Sophos研究团队SophosLabs自2018年夏天发现Snatch勒索软件,这个名称是取自好莱坞导演盖瑞奇(Guy Ritchie),所执导的黑色喜剧电影《偷拐抢骗》(Snatch)。今年10月再次侦测到这只软件时,它已演化出可在Windows计算机安全模式下运行的能力。SophosLabs认为这种能力使得这只勒索软件更加危险,因为安全模式下杀毒软件通常不会启动。

经由总总线索,安全公司判断Snatch背后是操俄语的黑客组织。分析其程序代码得知,Snatch通过暴力破解公开于互联网的服务如RDP、VNC、TeamViewer,或以WebShell或SQL Injection手法渗透入企业网络,之后在企业内部传播。进入受害者计算机后,Snatch会执行多种行为,像是扫描、窃取企业重要敏感信息,像是计算机信息、用户账号,将之集成成文件后,上传到攻击者控制的C&C服务器,在受害计算机上安装监控程序作为日后远程访问的入口、甚至利用计算机上的合法工具如Windows合法服务Process Hacker、IObit Uninstaller、PowerTool和PsExec调用批次文件,来关闭计算机上的杀毒产品。

但是研究人员指出,Snatch最危险的手法是,它会以Windows服务形式安装在计算机中,这个服务即使在安全模式下还能执行,而且能防止遭用户中止。接着它会使受害计算机重开机进入安全模式,利用Windows组件vss.addmin.exe删除系统上的磁盘区阴影复制服务(Volume Shadow Copy),借此防止被它加密的文件未来有恢复可能。

之后,它就将受害系统磁盘上的信息加密进行勒索,被加密的文件都会多出.abcde的文件扩展名。黑客勒索的赎金从2,000到35,000美元不等。

Snatch是由Google Go撰写而成,一般这类程序具有跨平台执行能力,但Snatch尚只能跑在Windows下,从Windows 7到10,32或64-bit版本都是它感染的范围。某些研究样本也以开源封装程序UPX封装以混淆程序代码。至今美国、加拿大和几个欧洲国家,都有被它感染的企业通报。

Snatch一直在网络上活动,但迄今很少被侦测到,原因是其背后的俄国黑客疑似目标并不在从家庭或个人用户勒索小钱。它也不从事大规模感染,而是采精准攻击锁定企业或政府部门,一次勒索大笔金额。但是由于恢复机制已经破坏,因此受害者即使付了钱,也无法取回文件。

安全公司建议,应对具有管理员权限的用户执行多因素验证,此外也应升级到最新版终端防护。