本次捕获的新型勒索软件“Bugo”目前正在地下论坛中出售。卖方称可以自定义联系方式和加密后缀。
这意味着,相关黑产团伙购买后可以无限制的生成任意加密后缀的勒索样本,如果考虑极致的免杀还可以在外层套几层流行的混淆器再进行投放,危害巨大。同时在该论坛中,有人在寻求Arkei Stealer logs工具,用于勒索软件的攻击流程中。
样本分析
整体流程如下:
将自身拷贝到%temp%目录下,调用CMD启动
随机生成AES密钥并加载RSA公钥,使用RSA公钥加密AES密钥,作为用户ID
遍历目录
排除如下目录
C:\PerfLogs
C:\Program Files
C:\Program Files (x86)
C:\Windows
C:\PerfLogs
C:\Program Files
C:\Program Files (x86)
C:\Windows
加密的文件后缀类型如下
加密文件,后缀为.[bugbugo@protonmail.com].bug
之后自删除,弹出勒索信
总结
经过测试Bugo勒索家族免杀效果较好,能够绕过国内绝大多数的杀软,另一方面代码结构短小精悍,加密速度非常快,不到五分钟就可以全盘加密。因此,奇安信病毒响应中心提醒用户,疫情在家远程办公,不要点击来源不明的邮件和可执行文件,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,奇安信病毒响应中心会持续对新型勒索软件进行监控和跟踪。
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。
IOC
文件Hash:
dd3f0bd96b1982bb57542f02695ec257
dd3f0bd96b1982bb57542f02695ec257