Ransomware
Introdução
Apenas uma semana após o surto WannaCry ransomware, os pesquisadores descobriram outro Ransomware chamado XData, que estå infectando centenas de PCs na Ucrânia. Dentro de menos de 24 horas, a XData conseguiu um forte posicionamento nessas måquinas.
Embora esse fato seja notĂĄvel em si mesmo, hĂĄ um nĂvel adicional de intriga em torno desse malware que atrai igualmente os entusiastas do crime e o teĂłrico da conspiração. Acontece que o XData ĂŠ realmente derivado de um ransomware antigo chamado AES-NI.
Desde o inĂcio, o suposto desenvolvedor da AES-NI contatou vĂĄrios pesquisadores e jornalistas para desautorizar qualquer conexĂŁo com o XData. Independentemente dos motivos por trĂĄs do XData, o malware parece estar se espalhando para fora da Ucrânia, entĂŁo estamos aqui para derrubĂĄ-lo e aumentar a conscientização sobre esta variante de ransomware virulenta e destrutiva, em um esforço para mostrar outras equipes de segurança como bloqueĂĄ-lo de infectar Seus sistemas.
Primeiro, o drama
O Ransomware AES-NI surgiu em torno de dezembro de 2016, depois que usuĂĄrios infectados publicaram a nota de resgate e a extensĂŁo de arquivos em fĂłruns de ajuda. Algumas das primeiras extensĂľes de arquivos anexadas aos arquivos criptografados incluem .lock, .pre_alpha, .aes e .aes_ni. Como ĂŠ frequentemente o caso, o nome veio de cordas Ăşnicas na nota de resgate.
Em 18 de maio de 2017, a versão XData surgiu. Seu código Ê baseado na versão AES-Ni original, mas existem algumas diferenças notåveis, como XData não estå usando TOR para seu servidor de Comando e Controle (C & C) e uso de tÊcnicas de injeção de processo. A diferença mais óbvia Ê a extensão de arquivo para arquivos criptografados, que Ê ". ~ Xdata ~".
De acordo com o desenvolvedor da AES-NI, que atuou no Twitter e chegou a alguns pesquisadores de segurança e a BleepingComputer, ele acha que seu cĂłdigo fonte para AES-NI foi roubado e usado para criar XData. Como XData pode ter usuĂĄrios propositalmente infectados na Ucrânia e outros paĂses perto da RĂşssia, o que ĂŠ incomum para a maioria dos sistemas de armazenamento desenvolvido na RĂşssia, o desenvolvedor da AES-NI pensa que estĂĄ sendo enquadrado para isso.
Presumivelmente devido ao medo de entrar em problemas com a aplicação da lei russa, o desenvolvedor decidiu liberar a chave de descodificação de algumas das variantes AES-NI. ApĂłs o lançamento das chaves de descriptografia para o pĂşblico, existem agora algumas ferramentas de descriptografia gratuitas disponĂveis para ajudar as vĂtimas a recuperar seus arquivos.
Notavelmente, as versþes mais recentes do AES-NI agora estão fazendo suas rodadas usando extensþes ".aes_ni_0day" e ".pr0tect" e se celebram como uma "edição de exploração de NSA" especial.
Figura 1: Notas de resgate de amostra de AES-NI e XData
Nossa AnĂĄlise
Usamos uma das variantes mais recentes para nossa anålise. O arquivo binårio principal Ê altamente criptografado e, uma vez que ele Ê executado, ele primeiro procura e executa o arquivo do sistema Windows "svchost.exe" no modo suspenso. O arquivo binårio contÊm um arquivo DLL que Ê armazenado criptografado na seção de recursos. Ele extrai \ decrypts e carrega este arquivo DLL na memória.
Este arquivo DLL Ê o programa TOR que a AES-NI usa para se conectar diretamente e de forma segura aos sites que ele precisa acessar. Uma vez que o arquivo DLL Ê carregado na memória, ele Ê injetado no processo "svchost.exe" atualmente suspenso. E após a injeção, ele retoma o processo suspenso em que sua execução começa no módulo "solicitação" do arquivo DLL injetado.
Figura 2: Processo suspenso "svchost.exe" com o arquivo DLL injetado sendo retomado
Figura 3: a execução da DLL injetada começa no módulo "solicitação"
O programa TOR Ê executado para se conectar a servidores direcionados. Uma vez conectado, ele envia informaçþes do sistema coletadas do PC infectado.
Figura 4: programa TOR conectado aos servidores direcionados
Enquanto o programa TOR estå em execução, o binårio principal tambÊm tenta se conectar aos seguintes URLs:
⢠"kzg2xa3nsydv [xxxx] .onion / gate.php" (servidor C & C)
⢠"ipinfo.io" - para verificar a conexão com a internet e informaçþes de geolocalização
Conforme visto na imagem abaixo, a conexão com a internet e as informaçþes de localização geogråfica foram coletadas e serão enviadas ao servidor C & C juntamente com outros detalhes do sistema, como o "Nome do computador", "Nome do usuårio", "Data de instalação da versão do SO", Etc.
Figura 5: detalhes de conexão de Internet e geolocalização obtidos da ipinfo.io
O binårio principal então começa a procurar arquivos para criptografar. Ele primeiro enumera unidades locais e mapeadas e busca recursivamente arquivos para criptografar. Ele ignora a criptografia de arquivos com ". Sys "," .exe "," .msi "," .lnk "e" .dll " , bem como todos os arquivos dentro das pastas " Windows " e " Desktop " . Isso garante que o sistema ainda funciona corretamente após a criptografia. Ele tambÊm ignora o arquivo criptografado com menos de 16 bytes de tamanho.
Ele criptografa arquivos usando criptografia AES-256 e RSA-2048 e renomeia todos os arquivos criptografados anexando a string ".aes_ni_0day" em seus nomes de arquivos originais, conforme mostrado abaixo:
Figura 6: Arquivos criptografados agora com extensĂľes ".aes_ni_0day"
Ele tambĂŠm cria a nota de resgate usando o nome do arquivo "!!! LEIA ESTE - IMPORTANTE !!!. Txt "em cada pasta. O conteĂşdo da nota de resgate ĂŠ mostrado abaixo:
Figura 7: A nota de resgate e as instruçþes
De acordo com a nota de resgate, o malware Ê uma versão especial denominada "NSA EXPLOIT EDITION", provavelmente referente ao despejo ShadowBrokers do conjunto de ferramentas de exploração FuzzBunch, que foi supostamente roubado da NSA.
No entanto, nĂłs nĂŁo encontrou nenhuma evidĂŞncia nesta versĂŁo de capacidades semelhantes a vermes semelhantes a WannaCry , agora conhecida famosa por ter usado uma combinação dos EternalBlue ferramentas e DoublePulsar com efeito devastador. A nota de resgate pode simplesmente se referir ao uso que os atacantes das façanhas no despejo para entregar o ransomware Ă mĂĄquina da vĂtima.
Esta variante tambÊm pode criptografar arquivos em toda a rede local usando compartilhamentos de rede abertos e autenticados. Ele verifica a rede usando endereços derivados do próprio endereço dos sistemas infectados, procurando compartilhamentos abertos e compartilhamentos de administrador (IPC $, C $). Uma vez que ele encontra um computador com um compartilhamento aberto, ele tenta negociar conexþes. Uma vez que uma conexão foi feita, ela irå criptografar arquivos armazenados nessas pastas compartilhadas.
Figura 8: Varredura de rede para computadores com compartilhamento aberto
AES-NI ransomware gera uma chave pĂşblica localmente para criptografar arquivos. Juntamente com a chave privada, essa chave pĂşblica ĂŠ necessĂĄria pelo atacante para que possa descriptografar os arquivos afetados. A chave pĂşblica ĂŠ armazenada na pasta "C: \ ProgramData" e uma cĂłpia tambĂŠm ĂŠ enviada para o servidor C & C. Conforme instruĂdo na nota de resgate, esta chave pĂşblica deve ser enviada ao atacante se a vĂtima decidir pagar o resgate.
Figura 9: Chave pĂşblica gerada
O AES-NI tambĂŠm tenta encerrar centenas de serviços em execução se instalado no computador da vĂtima, como:
ACRONIS StorageNode
Acronis VSS Provider
AcronisAgent
Altaro.SubAgent.exe
Altaro.UI.Service.exe
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
MMS
MsDtsServer
MsDtsServer100
MSExchangeADTopologia
MySQL
MySQL56
NAVSERVER
Esses serviços abrangem uma ampla gama de software e incluem software de backup e recuperação, software de banco de dados e outros. Muitas vezes, o ransomware almeja arquivos de banco de dados para criptografia, potencialmente aumentando as apostas para a vĂtima. No entanto, o software de banco de dados e outros softwares que trabalham com dados tipicamente bloqueiam seus arquivos de dados para evitar que outro software modifique o arquivo (e, claro, excluindo). Para obter a lista completa dos serviços, consulte o ApĂŞndice A.
Usando a ferramenta wevtutil.exe, este ransomware exclui todos os registros de eventos do Windows como parte de sua tÊcnica furtiva. Ele cria o arquivo de lote mostrado na imagem abaixo e imediatamente o exclui após a execução.
Figura 10: Excluir logs de eventos do Windows
Stealth Capabilities - File-less-ness
Uma caracterĂstica muito interessante deste ransomware ĂŠ o fato de que nĂŁo deixa vestĂgios de seu mecanismo de infecção no sistema. O binĂĄrio principal possui uma autodestruição que ĂŠ comum Ă maioria dos malwares e o processo de injeção DLL nĂŁo produziu nenhum arquivo fĂsico porque tudo foi feito na memĂłria.
Ele tambĂŠm exclui todos os arquivos nĂŁo binĂĄrios que ele cria e, juntamente com a exclusĂŁo dos logs de eventos do Windows, serĂĄ difĂcil rastrear e analisar como os arquivos da vĂtima foram criptografados. Isso serĂĄ efetivo para quaisquer novas versĂľes que nĂŁo tenham sido vistas e detectadas por assinaturas antivĂrus (AV), porque encontrar a amostra real do computador afetado serĂĄ difĂcil.
ConclusĂŁo
O Ransomware AES-NI ainda Ê um dos ransomware mais eficazes lå fora. Tem sido visto em diferentes partes do mundo. Como Ê altamente eficaz e não obteve tanta atenção como, digamos, WannaCry, esperamos que mais versþes sejam lançadas no futuro próximo, então continuaremos seguindo (e bloquearemos com CylancePROTECTŽ) este ransomware E seus "spinoffs". Esse Ransomware tambÊm pode acabar se tornando um que oferece o Ransomware-as-a-Service (RaaS).
A capacidade do Ransomware da AES-NI de ocultar seu rastreamento nos computadores da vĂtima pode ser muito desafiadora para anĂĄlises e pesquisas forenses. Sem deixar nenhum traço de infecção, serĂĄ difĂcil obter as amostras reais, especialmente para os fornecedores de segurança que precisam do arquivo real para criar assinaturas para.
Se você usa nosso produto de proteção de ponto de extremidade CylancePROTECTŽ , você jå estava protegido contra este ataque. Se você não possui o CylancePROTECT, entre em contato conosco para saber como nossa solução orientada por AI pode prever e prevenir ameaças desconhecidas e emergentes.
Indicadores de Compromisso (IoCs)
SHA-256 Hashes:
157D7AD2664AA2B7F534A628D56026B0DF9F5FFCCE7CC1F1943A9F939B3F4CF0
19339A16D23C642118A1BA7E2B7CD20A92290A6E645491AF048654BC57B51FD6
4142FF4667F5B9986888BDCB2A727DB6A767F78FE1D5D4AE3346365A1D70EB76
9D37D25052949E11DA33DFC5098E589EFD33703BFA623473F5BCD02959EE159F
A9E2D14DC0F3CF022D52C671675961489592D5F90F97791FBD99007A4F494BD3
CDEF49474F70CE08E0925427D6482DC1317466AEB3F0A5A3EE86F7B8AB09202A
F8C12248B4336F6AB998B0B055B68608EBBE9031E5AE962FCD5D6069D1504334
ReferĂŞncias:
Http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev- Libera-decodificação-chaves-em meio-medos de ser-enquadrado-para-xdata-outbreak /
http://www.2-spyware.com/the-end-of-aes_ni-ransomware-the-hacker-publishes- Chaves de descriptografia
https://blog.avast.com/avast-releases-decryptor-tool-for-aes_ni-ransomware
Apêndice A - Lista de Serviços
Sobre a Equipe de Orientação de Ameaças de Cylance
A equipe de Orientação de ameaças da Cylance examina malware e suspeita de malware para identificar melhor suas habilidades, funçþes e vetores de ataque. Threat Guidance estå na linha de frente da segurança da informação e muitas vezes examina profundamente o software mal-intencionado, o que os coloca em uma posição única para discutir ameaças nunca vistas antes.
https://www.cylance.com/en_us/blog/threat-spotlight-aes-ni-aka-sorebrect-ransomware.html
Apenas uma semana após o surto WannaCry ransomware, os pesquisadores descobriram outro Ransomware chamado XData, que estå infectando centenas de PCs na Ucrânia. Dentro de menos de 24 horas, a XData conseguiu um forte posicionamento nessas måquinas.
Embora esse fato seja notĂĄvel em si mesmo, hĂĄ um nĂvel adicional de intriga em torno desse malware que atrai igualmente os entusiastas do crime e o teĂłrico da conspiração. Acontece que o XData ĂŠ realmente derivado de um ransomware antigo chamado AES-NI.
Desde o inĂcio, o suposto desenvolvedor da AES-NI contatou vĂĄrios pesquisadores e jornalistas para desautorizar qualquer conexĂŁo com o XData. Independentemente dos motivos por trĂĄs do XData, o malware parece estar se espalhando para fora da Ucrânia, entĂŁo estamos aqui para derrubĂĄ-lo e aumentar a conscientização sobre esta variante de ransomware virulenta e destrutiva, em um esforço para mostrar outras equipes de segurança como bloqueĂĄ-lo de infectar Seus sistemas.
Primeiro, o drama
O Ransomware AES-NI surgiu em torno de dezembro de 2016, depois que usuĂĄrios infectados publicaram a nota de resgate e a extensĂŁo de arquivos em fĂłruns de ajuda. Algumas das primeiras extensĂľes de arquivos anexadas aos arquivos criptografados incluem .lock, .pre_alpha, .aes e .aes_ni. Como ĂŠ frequentemente o caso, o nome veio de cordas Ăşnicas na nota de resgate.
Em 18 de maio de 2017, a versão XData surgiu. Seu código Ê baseado na versão AES-Ni original, mas existem algumas diferenças notåveis, como XData não estå usando TOR para seu servidor de Comando e Controle (C & C) e uso de tÊcnicas de injeção de processo. A diferença mais óbvia Ê a extensão de arquivo para arquivos criptografados, que Ê ". ~ Xdata ~".
De acordo com o desenvolvedor da AES-NI, que atuou no Twitter e chegou a alguns pesquisadores de segurança e a BleepingComputer, ele acha que seu cĂłdigo fonte para AES-NI foi roubado e usado para criar XData. Como XData pode ter usuĂĄrios propositalmente infectados na Ucrânia e outros paĂses perto da RĂşssia, o que ĂŠ incomum para a maioria dos sistemas de armazenamento desenvolvido na RĂşssia, o desenvolvedor da AES-NI pensa que estĂĄ sendo enquadrado para isso.
Presumivelmente devido ao medo de entrar em problemas com a aplicação da lei russa, o desenvolvedor decidiu liberar a chave de descodificação de algumas das variantes AES-NI. ApĂłs o lançamento das chaves de descriptografia para o pĂşblico, existem agora algumas ferramentas de descriptografia gratuitas disponĂveis para ajudar as vĂtimas a recuperar seus arquivos.
Notavelmente, as versþes mais recentes do AES-NI agora estão fazendo suas rodadas usando extensþes ".aes_ni_0day" e ".pr0tect" e se celebram como uma "edição de exploração de NSA" especial.
Figura 1: Notas de resgate de amostra de AES-NI e XData
Nossa AnĂĄlise
Usamos uma das variantes mais recentes para nossa anålise. O arquivo binårio principal Ê altamente criptografado e, uma vez que ele Ê executado, ele primeiro procura e executa o arquivo do sistema Windows "svchost.exe" no modo suspenso. O arquivo binårio contÊm um arquivo DLL que Ê armazenado criptografado na seção de recursos. Ele extrai \ decrypts e carrega este arquivo DLL na memória.
Este arquivo DLL Ê o programa TOR que a AES-NI usa para se conectar diretamente e de forma segura aos sites que ele precisa acessar. Uma vez que o arquivo DLL Ê carregado na memória, ele Ê injetado no processo "svchost.exe" atualmente suspenso. E após a injeção, ele retoma o processo suspenso em que sua execução começa no módulo "solicitação" do arquivo DLL injetado.
Figura 2: Processo suspenso "svchost.exe" com o arquivo DLL injetado sendo retomado
Figura 3: a execução da DLL injetada começa no módulo "solicitação"
O programa TOR Ê executado para se conectar a servidores direcionados. Uma vez conectado, ele envia informaçþes do sistema coletadas do PC infectado.
Figura 4: programa TOR conectado aos servidores direcionados
Enquanto o programa TOR estå em execução, o binårio principal tambÊm tenta se conectar aos seguintes URLs:
⢠"kzg2xa3nsydv [xxxx] .onion / gate.php" (servidor C & C)
⢠"ipinfo.io" - para verificar a conexão com a internet e informaçþes de geolocalização
Conforme visto na imagem abaixo, a conexão com a internet e as informaçþes de localização geogråfica foram coletadas e serão enviadas ao servidor C & C juntamente com outros detalhes do sistema, como o "Nome do computador", "Nome do usuårio", "Data de instalação da versão do SO", Etc.
Figura 5: detalhes de conexão de Internet e geolocalização obtidos da ipinfo.io
O binårio principal então começa a procurar arquivos para criptografar. Ele primeiro enumera unidades locais e mapeadas e busca recursivamente arquivos para criptografar. Ele ignora a criptografia de arquivos com ". Sys "," .exe "," .msi "," .lnk "e" .dll " , bem como todos os arquivos dentro das pastas " Windows " e " Desktop " . Isso garante que o sistema ainda funciona corretamente após a criptografia. Ele tambÊm ignora o arquivo criptografado com menos de 16 bytes de tamanho.
Ele criptografa arquivos usando criptografia AES-256 e RSA-2048 e renomeia todos os arquivos criptografados anexando a string ".aes_ni_0day" em seus nomes de arquivos originais, conforme mostrado abaixo:
Figura 6: Arquivos criptografados agora com extensĂľes ".aes_ni_0day"
Ele tambĂŠm cria a nota de resgate usando o nome do arquivo "!!! LEIA ESTE - IMPORTANTE !!!. Txt "em cada pasta. O conteĂşdo da nota de resgate ĂŠ mostrado abaixo:
Figura 7: A nota de resgate e as instruçþes
De acordo com a nota de resgate, o malware Ê uma versão especial denominada "NSA EXPLOIT EDITION", provavelmente referente ao despejo ShadowBrokers do conjunto de ferramentas de exploração FuzzBunch, que foi supostamente roubado da NSA.
No entanto, nĂłs nĂŁo encontrou nenhuma evidĂŞncia nesta versĂŁo de capacidades semelhantes a vermes semelhantes a WannaCry , agora conhecida famosa por ter usado uma combinação dos EternalBlue ferramentas e DoublePulsar com efeito devastador. A nota de resgate pode simplesmente se referir ao uso que os atacantes das façanhas no despejo para entregar o ransomware Ă mĂĄquina da vĂtima.
Esta variante tambÊm pode criptografar arquivos em toda a rede local usando compartilhamentos de rede abertos e autenticados. Ele verifica a rede usando endereços derivados do próprio endereço dos sistemas infectados, procurando compartilhamentos abertos e compartilhamentos de administrador (IPC $, C $). Uma vez que ele encontra um computador com um compartilhamento aberto, ele tenta negociar conexþes. Uma vez que uma conexão foi feita, ela irå criptografar arquivos armazenados nessas pastas compartilhadas.
Figura 8: Varredura de rede para computadores com compartilhamento aberto
AES-NI ransomware gera uma chave pĂşblica localmente para criptografar arquivos. Juntamente com a chave privada, essa chave pĂşblica ĂŠ necessĂĄria pelo atacante para que possa descriptografar os arquivos afetados. A chave pĂşblica ĂŠ armazenada na pasta "C: \ ProgramData" e uma cĂłpia tambĂŠm ĂŠ enviada para o servidor C & C. Conforme instruĂdo na nota de resgate, esta chave pĂşblica deve ser enviada ao atacante se a vĂtima decidir pagar o resgate.
Figura 9: Chave pĂşblica gerada
O AES-NI tambĂŠm tenta encerrar centenas de serviços em execução se instalado no computador da vĂtima, como:
ACRONIS StorageNode
Acronis VSS Provider
AcronisAgent
Altaro.SubAgent.exe
Altaro.UI.Service.exe
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
MMS
MsDtsServer
MsDtsServer100
MSExchangeADTopologia
MySQL
MySQL56
NAVSERVER
Esses serviços abrangem uma ampla gama de software e incluem software de backup e recuperação, software de banco de dados e outros. Muitas vezes, o ransomware almeja arquivos de banco de dados para criptografia, potencialmente aumentando as apostas para a vĂtima. No entanto, o software de banco de dados e outros softwares que trabalham com dados tipicamente bloqueiam seus arquivos de dados para evitar que outro software modifique o arquivo (e, claro, excluindo). Para obter a lista completa dos serviços, consulte o ApĂŞndice A.
Usando a ferramenta wevtutil.exe, este ransomware exclui todos os registros de eventos do Windows como parte de sua tÊcnica furtiva. Ele cria o arquivo de lote mostrado na imagem abaixo e imediatamente o exclui após a execução.
Figura 10: Excluir logs de eventos do Windows
Stealth Capabilities - File-less-ness
Uma caracterĂstica muito interessante deste ransomware ĂŠ o fato de que nĂŁo deixa vestĂgios de seu mecanismo de infecção no sistema. O binĂĄrio principal possui uma autodestruição que ĂŠ comum Ă maioria dos malwares e o processo de injeção DLL nĂŁo produziu nenhum arquivo fĂsico porque tudo foi feito na memĂłria.
Ele tambĂŠm exclui todos os arquivos nĂŁo binĂĄrios que ele cria e, juntamente com a exclusĂŁo dos logs de eventos do Windows, serĂĄ difĂcil rastrear e analisar como os arquivos da vĂtima foram criptografados. Isso serĂĄ efetivo para quaisquer novas versĂľes que nĂŁo tenham sido vistas e detectadas por assinaturas antivĂrus (AV), porque encontrar a amostra real do computador afetado serĂĄ difĂcil.
ConclusĂŁo
O Ransomware AES-NI ainda Ê um dos ransomware mais eficazes lå fora. Tem sido visto em diferentes partes do mundo. Como Ê altamente eficaz e não obteve tanta atenção como, digamos, WannaCry, esperamos que mais versþes sejam lançadas no futuro próximo, então continuaremos seguindo (e bloquearemos com CylancePROTECTŽ) este ransomware E seus "spinoffs". Esse Ransomware tambÊm pode acabar se tornando um que oferece o Ransomware-as-a-Service (RaaS).
A capacidade do Ransomware da AES-NI de ocultar seu rastreamento nos computadores da vĂtima pode ser muito desafiadora para anĂĄlises e pesquisas forenses. Sem deixar nenhum traço de infecção, serĂĄ difĂcil obter as amostras reais, especialmente para os fornecedores de segurança que precisam do arquivo real para criar assinaturas para.
Se você usa nosso produto de proteção de ponto de extremidade CylancePROTECTŽ , você jå estava protegido contra este ataque. Se você não possui o CylancePROTECT, entre em contato conosco para saber como nossa solução orientada por AI pode prever e prevenir ameaças desconhecidas e emergentes.
Indicadores de Compromisso (IoCs)
SHA-256 Hashes:
157D7AD2664AA2B7F534A628D56026B0DF9F5FFCCE7CC1F1943A9F939B3F4CF0
19339A16D23C642118A1BA7E2B7CD20A92290A6E645491AF048654BC57B51FD6
4142FF4667F5B9986888BDCB2A727DB6A767F78FE1D5D4AE3346365A1D70EB76
9D37D25052949E11DA33DFC5098E589EFD33703BFA623473F5BCD02959EE159F
A9E2D14DC0F3CF022D52C671675961489592D5F90F97791FBD99007A4F494BD3
CDEF49474F70CE08E0925427D6482DC1317466AEB3F0A5A3EE86F7B8AB09202A
F8C12248B4336F6AB998B0B055B68608EBBE9031E5AE962FCD5D6069D1504334
ReferĂŞncias:
Http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
https://www.bleepingcomputer.com/news/security/aes-ni-ransomware-dev- Libera-decodificação-chaves-em meio-medos de ser-enquadrado-para-xdata-outbreak /
http://www.2-spyware.com/the-end-of-aes_ni-ransomware-the-hacker-publishes- Chaves de descriptografia
https://blog.avast.com/avast-releases-decryptor-tool-for-aes_ni-ransomware
Apêndice A - Lista de Serviços
Sobre a Equipe de Orientação de Ameaças de Cylance
A equipe de Orientação de ameaças da Cylance examina malware e suspeita de malware para identificar melhor suas habilidades, funçþes e vetores de ataque. Threat Guidance estå na linha de frente da segurança da informação e muitas vezes examina profundamente o software mal-intencionado, o que os coloca em uma posição única para discutir ameaças nunca vistas antes.
https://www.cylance.com/en_us/blog/threat-spotlight-aes-ni-aka-sorebrect-ransomware.html
ComentĂĄrios
Postar um comentĂĄrio