發現基於 .NET 平台且使用開源項目的勒索軟體

Zscaler 的安全研究人員發現兩款新的基於 .NET 平台的勒索軟體，它們使用了開源項目以加密用戶的文件。

被稱為 Vortex 和 BUGWARE 的兩款勒索軟件可實現在線攻擊，例如通過發送包含惡意 URL 的垃圾郵件進行傳播和攻擊，它們都已被編譯成微軟中間語言 (MSIL)，並用 ‘Confuser’ 工具對代碼進行了混淆加密。Vortex 勒索軟體使用了 AES-256 位加密來對受害者機器中的圖像、視頻、音頻、文檔，以及其他潛在的重要數據文件進行加密。

加密完成後，惡意軟體會嘗試通過創建註冊表項以及名為「AESxWin」的註冊表鍵來實現持久化。此外，安全人員還觀察到惡意軟體會刪除受感染機器上的快照文件，以防止用戶無需支付贖金即可恢復其數據。在分析惡意軟體的 command and control (C&C) 通信時，安全研究人員觀察到它會發送系統信息並請求用於加密和解密密鑰的密碼 API。

Vortex 完全基於 AESxWin，這是一個免費的加密和解密工具，代碼託管在 GitHub 上。因此，只要用於加密的密碼是已知的，Zscaler 建議，可以使用 AESxWin 對文件進行解密。另一款勒索軟體 BUGWARE 使用了 Hidden Tear ，一款曾被稱為全球首款開源勒索軟體的代碼。Hidden Tear 也託管在 GitHub 上，不過我們看到它的倉庫已經沒有代碼文件。

這款惡意軟體會創建一個用於加密的路徑列表並將其存儲在一個名為 Criptografia.pathstoencrypt 的文件中。它還會搜尋所有固定的網路和可移動驅動設備，並將這些路徑添加到列表中。為了實現持久性，它會創建一個運行密鑰，確保用戶每次登錄到計算機時都會執行該密鑰。此外，如果檢測到可移動驅動設備，它會在其中放置一個名為「fatura-vencida.pdf.scr.」的副本。

安全研究人員觀察到 BUGWARE 生成的加密密鑰也使用了 AES-256 位加密，以對用戶的文件進行加密，和重命名加密的文件。AES 密鑰使用 RSA 公共密鑰進行加密，並將 base64 編碼密鑰保存在註冊表中。