研究人员发现攻击企业服务器的新勒索软件PureLocker(2019.11.15)

Intezer和IBM X-Force的研究人员发现并分析了新勒索软件PureLocker，它被用来针对企业的生产服务器进行定向攻击。通过代码重用分析，研究人员发现PureLocker与more_eggs后门密切相关，more_eggs由经验丰富的MaaS（恶意软件即服务）提供商在暗网售卖，已被Cobalt Gang、FIN6等威胁组使用，该勒索软件活动也可能与二者有关。PureLocker使用PureBasic编程语言编写，存在Windows、Linux和OS-X版本，被设计为以特定方式执行的DLL文件，这揭示了该勒索软件是一个多阶段攻击的后期组件。PureLocker通过手动加载另一个ntdll.dll副本并手动解析API地址，来使用anti-hooking技术，还使用ntdll.dll中的低级Windows API函数来实现其大部分功能。PureLocker使用标准AES+RSA组合对受害者计算机上的文件进行加密，扩展名为“.CR1”，勒索信中并没有提到赎金金额，而是要求受害者通过电子邮件与攻击者（匿名且加密的Proton电子邮件）联系。完整报告可在www.intezer.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理