在勒索软件的运行过程里,往往要先借由C&C中继站接收指令才能执行,使得以往遇到相关攻击时,许多人会先拔掉网络线来阻止事态变得更加严重,但这招可能对新的勒索软件无效。因为,最近安全公司SentinelOne研究人员披露,一款自去年12月出现于地下论坛的勒索软件Zeoticus 2.0,就采用了这样罕见的机制,这代表着受害计算机即使没有连接互联网,这款勒索软件照样会加密磁盘里的文件。
该公司也对该勒索软件提供入侵指标(IoC),包含了文件的SHA1与SHA256散列值,以及MITRE ATT&CK攻击手法类别,以便网管人员加以防范。
研究人员指出,Zeoticus家族最早自2020年初,出现于地下论坛与市场销售,而当时是以定制化的方式提供给买家。在这个系列推出的2.0版中,开发的黑客主打的就是能支持脱机执行,而且可在所有的Windows操作系统运行。SentinelOne认为,该款勒索软件应该能在Windows XP与更旧版本的窗口操作系统上执行。不过,Zeoticus 2.0在俄国、白俄罗斯、吉尔吉斯等国家不会运行。
除此之外,Zeoticus 2.0加密文件的方法也很特别,同时包含了对称加密算法与非对称加密算法,而且是采用加密速度较快、较为少见的算法。对称加密算法的部分,黑客运用了XChaCha20,并搭配非对称加密算法Poly1305、XSalsa20,以及Curve25519。受害计算机的文件被加密后,文件的文件扩展名会变成联系黑客的电子邮件信箱,再加上2020END字符串的组合。
而在Zeoticus 2.0完成文件加密后,会在磁盘根目录(如C:\WINDOWS)留下勒索消息README.HTML,不像旧的1.0版以壁纸来呈现联系黑客的信息。
研究人员截屏呈现Zeoticus 2.0版(左)与1.0版(右)勒索消息的差异。我们可以看到左图具备详细的说明,包含提供购买比特币的网址,以及为取信受害者,黑客提供免费解密1个文件,但这个文件必须小于1MB,而且仅限于特定文件与图片文件格式。