不能低估的对手:FONIX勒索软件及服务

安全
事实上,FONIX于 2020 年 7 月才首次出现在威胁环境中,与这种威胁相关的感染数量仍然很少,但绝不能被轻易低估。

FONIX ,一种新的勒索软件即服务(RaaS)产品。

事实上,FONIX于 2020 年 7 月才首次出现在威胁环境中,与这种威胁相关的感染数量仍然很少,但绝不能被轻易低估。

专家指出,该勒索软件作者不要求威胁分发者支付任何费用来加入其中,只需要拿走威胁分发者获得的赎金的一定百分比。和许多其他当前 RaaS 产品略有不同,FONIX对每个文件采用四种加密方法,并且感染后解密周期过于复杂。


威胁分发者通过电子邮件与作者进行通信,以获得针对受害者的解密程序和密钥。与之相对的,分发者会为作者保留25%赎金。

根据当前情报,FONIX关联公司或者说威胁分发者一开始不会获得解密程序或密钥。正常情况下,在受害者通过电子邮件联系威胁分发者后,威胁分发者受害者会要求受害者提供一些文件。其中包括两个用于解密的小文件:一个是证明被加密的证据,另一个是来自受感染主机的文件"cpriv.key"。然后,威胁分发者会将这些文件发送给FONIX作者,作者解密文件后发送给受害者。当受害者确信解密是可信的,分发者就会提供付款地址(BTC 钱包)。然后,受害者支付报酬,然后分发者会和FONIX 作者分成。

显然,上述流程比大多数 RaaS 服务更复杂,用户友好程度也更低。

目前,FONIX 勒索软件仅针对 Windows 系统,默认情况下它加密所有文件类型,不包括关键的 Windows OS 文件。此外,该勒索软件使用 AES、Chacha、RSA 和 Salsa20 的组合来加密受害者的文件,并且添加了一个XINOF 扩展。这类多种加密协议使得加密过程比其他勒索软件慢得多,而使用管理权限执行有效负载后,将进行以下系统更改:

  • 禁用任务管理器
  • 通过计划任务、启动包含和注册表(运行和运行一次)的文件夹实现持久性
  • 修改系统文件权限
  • 有效负载的持久副本将其归因于隐藏
  • 为持久性创建隐藏服务(Windows 10)
  • 更改驱动器/音量标签(更改为"XINOF")
  • 删除卷卷副本将(vssadmin,wmic)
  • 系统恢复选项被操控 / 禁用( bcdedit )
  • 安全引导选项被操控

FONIX 感染具有明显攻击性,即加密系统文件以外的所有内容 ,并且一旦设备完全加密,就很难恢复。不过,目前FONIX似乎并没有通过数据公开来威胁受害者。

参考来源:securityaffairs

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-12-16 15:24:47

戴尔

2016-02-23 10:02:24

2021-04-30 08:49:54

云服务勒索软件攻击

2015-04-20 10:04:22

苹果竞争对手

2021-12-02 13:56:33

勒索软件攻击网络安全

2023-12-13 16:21:22

2022-01-20 11:01:33

勒索软件即服务RaaS网络犯罪

2019-05-30 09:46:14

2022-01-20 15:01:16

网络安全勒索软件技术

2015-12-08 10:39:17

Dropbox关闭服务云存储

2018-05-31 10:16:20

2009-12-21 10:05:00

2015-11-18 14:17:14

勒索软件CrytoLocker黑客市场

2023-07-17 14:10:51

2019-12-26 13:29:50

勒索软件攻击黑客

2022-04-19 09:30:00

勒索软件网络安全勒索软件即服务

2020-12-18 15:20:40

勒索软件网络攻击网络安全

2021-07-30 15:28:36

勒索软件攻击数据泄露

2023-05-31 16:00:51

点赞
收藏

51CTO技术栈公众号