对出现的两个新的勒索软件变体——AlumniLocker和Humble的分析

趋势科技的对出研究人员最近发现了两个新的勒索软件变体——AlumniLocker和Humble，它们表现出不同的现的新复杂行为和加密后的勒索技术。

其中一种勒索手段包括支付异常高昂的两个勒索赎金，并威胁要公布受害者的软件关键数据。这些新的变体恶意功能迭代证明，2021年以勒索为目标的分析勒索软件仍然存在，而且还很盛行占据网络攻击的对出主流。

[[389730]]

AlumniLocker勒索软件分析

研究人员最近发现了AlumniLocker勒索软件，现的新，两个勒索它是软件Thanos勒索软件家族的一个变体，它会要求受害者支付10个比特币的变体赎金，截至发稿时10个比特币的分析价格相当于457382.60美元。这些勒索软件的对出使用者还威胁说，如果他们不在48小时内付款，现的新就会在他们的两个勒索网站上公布受害者的数据。b2b供应网

AlumniLocker通过恶意的PDF邮件附件被传播开来，如下所示根据研究人员的调查，那份PDF文件是一张伪造的发票，催促受害者下载。

恶意PDF文件的截图

该恶意PDF文件包含一个链接(hxxps://femto[.]pw/cyp5)，一旦点击，将下载一个包含下载器的ZIP文件。

下载器内容

ZIP文件还包含一个伪造的JPG文件，该文件实际上是一个PowerShell脚本，它将通过滥用后台智能服务传输(BITS)模块下载和执行AlumniLocker有效载荷。

包含滥用BITS模块的PowerShell脚本的伪造JPG文件

AlumniLocker勒索软件文件是一个MSIL (Themida-packed Microsoft Intermediate Language)可执行文件。它将.alumni附加到加密文件中：

受害者的加密文件的截图

一旦AlumniLocker对受害者的文件进行加密，便会通过记事本显示一个文本文件，其中详细说明了攻击者所要求的赎金以及如何支付赎金的说明。如果赎金金额未在规定的期限内支付，勒索软件的WordPress模板使用者就会威胁要在他们的网站上公布受害者的个人文件，而截至发稿时，该网站是无法访问的。

AlumniLocker勒索信

Humble勒索软件变体分析

研究人员在2021年2月发现了Humble勒索软件，这个不太典型的勒索软件家族是用可执行的包装程序(Bat2Exe)编译的。研究人员现在发现了两种Humble勒索软件变体，两种变体都具有勒索技术，可促使受害者迅速支付赎金。一个变体威胁受害者，一旦他们重启系统，主启动记录(MBR)将被重写;另一种变体也发出同样的威胁，如果受害者在五天内不支付赎金，MBR将被重写。

主要可执行文件是批处理文件本身，这可能不常见，但不是新文件。该勒索软件之所以与众不同，是因为它利用了通信平台Discord提供的公共Webhook服务向其报告或向受害者传播感染报告。

Humble勒索软件拒绝explorer.exe查看或访问本地存储驱动器。

受感染计算机的云服务器屏幕截图，显示除了可移动驱动器外，无法通过explorer.exe访问其他任何驱动器

Humble勒索软件阻止explorer.exe访问本地存储驱动器

研究人员分析的第一个Humble勒索软件变体删除了%temp%\{temp directory}\extd.exe组件，该组件通常用于加密和Web API二进制文件，以帮助进行文件加密。

该恶意软件利用certutil.exe(一种管理Windows证书的程序)从随机输入生成密钥，然后extd.exe组件将使用它来加密文件。

Humble勒索软件使用CertUtil从随机输入中生成密钥

Humble勒索软件会加密104种文件类型，包括具有以下扩展名的文件：.exe，.pdf，.mp3，.jpeg，.cc，.java和.sys。

成功加密目标设备后，恶意软件会通过自定义的AutoIt编译的Discord Webhook二进制文件将报告发送到勒索软件操作员的Discord Webhook面板。

使用Discord webhook面板生成的报告，用于通知Humble勒索软件操作员新的成功感染和加密

该恶意软件将生成一个随机字符串，然后将其用于附加受感染的文件。该恶意软件还会显示一个赎金记录，该赎金记录被设置为用户的锁定屏幕图像，警告受害者不要重新启动系统。

Humble勒索软件的勒索信显示为锁屏图像

研究人员分析的第二个Humble勒索软件变体使用PowerShell，certutil.exe和extd.exe下载组件文件(由趋势科技检测为Boot.Win32.KILLMBR.AD)，而不是在批处理中进行编码并自动从批处理中删除文件。

最新的Humble勒索软件变体的组件

此变体会通知受感染的设备的受害者，如果他们在五天内未支付0.0002比特币(截至撰写时价值9.79美元)的赎金，则所有文件都将被删除。

Humble勒索软件第二种变体的勒索信

缓解措施

随着勒索软件家族和变体的发展，攻击者会变得更加谨慎，使用复杂的技术和行为，目的是成功地从勒索软件中抽取数百万美元。根据保险公司Coalition的说法，从2019年到2020年第一季度，网络勒索金额翻了一番。

用户和组织应该遵循重要的安全建议，以保护他们的设备和系统免受勒索软件的伤害，包括执行最低特权原则，禁用本地管理帐户，限制对共享或网络驱动器的访问。

以下是对用户和组织防止勒索软件攻击的其他重要建议：

未经验证的电子邮件和其中嵌入的链接应谨慎打开，因为勒索软件会以这种方式传播。 重要文件的备份应该使用3-2-1规则：在两个不同的介质上创建三个备份副本，一个备份放在单独的位置。 定期更新软件、程序和应用程序，以保护它们免受最新漏洞的伤害。 保护个人信息的安全，因为即使这样攻击者也可能会发现破解系统安全的信息线索。

本文翻译自：

https://www.trendmicro.com/en_us/research/21/c/new-in-ransomware-alumnilocker-humble-feature-different-extortio.html