勒索病毒家族介绍之二 —— Egregor: 借尸还魂的勒索软件
首页 > 防勒索者病毒
时间:2020-12-24
在 Maze 勒索软件业务减少的同时,Egregor 勒索活动激增,并开始影响全球多个行业,遍布美国、欧洲、亚太地区和拉丁美洲的多个地区。Egregor 的操作方式类似 Maze,使我们有理由相信,尽管 Maze 运营商宣布退出江湖,但其幕后操作者们只是开发了新的勒索软件,以继续推进其目的。
Egregor 是 Sekhmet 勒索软件家族的变种。至少从 2020 年 9 月开始,就已观察到其活动迹象。
和 Maze 勒索软件一样,Egregor 也是利用恶意软件 Qakbot、IcedID、Ursnif 等作为其入口点。初次感染受害者系统后,Egregor 就会使用脚本来修改受害者防火墙,并启用远程桌面协议 (RDP)。
Egregor 在受害者系统部署一个 ZIP 文件,其中包含一个 PowerShell 脚本(图 1),该文件尝试卸载 McAfee 端点代理。然后,它使用 BITS 从恶意服务器下载 Egregor DLL 并使用 Rundll32 执行有效负载。
Egregor 使用多种反分析和规避技术,例如禁用系统的防病毒软件和严重混淆有效负载。此外,有效负载只能通过使用预期的命令行参数(本例中为"-passegregor10")的键执行。在受害者系统运行时,Egregor 将文件的扩展名更改为一组随机字符。文件加密完成后,勒索软件会在包含加密文件的所有文件夹中创建 “RECOVER-FILES.txt” 勒索信息文件。