SNAKE勒索軟體是下一個針對企業網路的威脅……

Snake勒索軟體是下一個針對企業網路的威脅……

 

網路管理員們可能需要開始擔心一種名為SNAKE的新勒索軟體,該軟體針對他們的網路並旨在加密與其連接的所有設備。

 

滲透到企業網路的威脅參與者針對為企業或使用大型獵殺勒索軟體,收集管理員憑據,然後使用漏洞利用工具對網路上所有電腦上的文件進行加密。

 

針對企業的勒索軟體列表正在緩慢地增長,包括RyukBitPaymerDoppelPaymerSodinokibiMazeMegaCortexLockerGoga以及現在的SNAKE Ransomware

 

我們對SNAKE勒索軟體的了解

 上週,MalwareHunterTeam發現了Snake Ransomware,後者與Vitali Kremez分享了該信息,以進行反向工程並了解有關感染的更多信息。

 

根據Kremez進行的分析,這種勒索軟體是用Golang編寫的,並且包含的混淆程度遠高於這些類型的感染。

 

SentinelLabs負責人Kremez在一次談話中對BleepingComputer表示:“勒索軟體包含了某種程度的常規混淆,通常不會與目標方法結合使用。”

 

啟動後,SNAKE將刪除電腦的磁碟區陰影複製副本,然後終止與SCADA系統,虛擬機,工業控制系統,遠程管理工具,網路管理軟體等有關的許多進程。

 

然後,它會繼續加密設備上的文件,同時跳過Windows系統文件夾和各種系統文件中的所有文件。可以在下面找到被跳過的系統文件夾的列表:

 

windir

SystemDrive

:\$Recycle.Bin

:\ProgramData

:\Users\All Users

:\Program Files

:\Local Settings

:\Boot

:\System Volume Information

:\Recovery

\AppData\

 

加密文件時,它將在文件擴展名後附加勒索5個字符串。例如,文件中命名1.doc的將被加密,並更名為像1.docqkWbv

1.png

加密文件的文件夾

在每個加密的文件中,SNAKE Ransomware都會添加如下所示的‘ EKANS ‘文件標記。EKANS反過來就是SNAKE

2.png

EKANS文件標記

 

2013年以來,BleepingComputer已測試了許多勒索軟體,由於某些原因,與許多其他勒索軟體感染相比,SNAKE花了特別長的時間來加密我們的小型測試盒。由於這是在選擇攻擊者時執行的有針對性的勒索軟體,因此問題可能不大,因為加密很可能會在數小時後發生。

 

加密電腦後,勒索軟體將在名為Fix-Your-Files.txtC\ Users \ Public \ Desktop文件夾中創建勒索便條。該贖金記錄包含有關聯繫列出的電子郵件地址以獲取付款說明。該電子郵件地址當前為[email protected]

3.png

SNAKE贖金的Note

從勒索說明中的語言可以看出,該勒索軟體專門針對整個網

路而不是單個工作站。他們進一步指出,購買的任何解密器都是針對網

路的,而不是針對單個機器的,但是現在判斷它們是否會例外還為時過早。

 

IOCs

Hash

e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60

 

贖金註釋文字:

——————————————–

 

| What happened to your files?

 

——————————————–

 

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more –

 

all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don’t worry!

 

You can still get those files back and be up and running again in no time.

 

 

———————————————

 

| How to contact us to get your files back?

 

———————————————

 

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

 

Once run on an effected computer, the tool will decrypt all encrypted files – and you can resume day-to-day operations, preferably with

 

better cyber security in mind. If you are interested in purchasing the decryption tool contact us at [email protected]

 

 

——————————————————-

 

| How can you be certain we have the decryption tool?

 

——————————————————-

 

In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets).

 

We will send them back to you decrypted.