勒索软件Snatch攻击原理分析
0x00 前言
近日有国外安全研究人员发现了一款名为“Snatch”的勒索软件,该勒索软件利用Windows的功能来绕过安装在PC上的安全软件,同时将本身的恶意程序作为服务自启项,从而对PC进行全盘加密,最后向受害者勒索比特币。
截止到10月中旬,Sophos安全公司已经收到了12例关于该勒索软件的反馈报告,要求比特币赎金在2900美元至51000美元之间。在安全公告中写道:“Snatch 可以在常见的 Windows 系统上运行,从 Windows 7 到 Windows 10,所有 32 位和 64 位版本都受到影响。我们观察到 Snatch 无法在 Windows 以外的平台上运行。”
0x01 Snatch勒索软件简介
Snatch勒索软件自从2018年的夏季开始一直活跃至今,但至今没有什么人听说过这种勒索软件,足以证明隐蔽性是他的一大特点。而在近期研究人员调查各种实体的网络攻击中发现了这种勒索软件的增强变种。Snatch勒索软件的制作者正在使用一种前所未有的技巧来绕过病毒软件的检测,最终成功将受害者的计算机加密。
这种全新的攻击方式诀窍就在于将受感染的计算机重新启动到安全模式,然后进行文件加密。至于为什么要选择在安全模式下,主要原因在于大多数防病毒软件都无法在Windows安全模式下启动。
除此之外,Snatch勒索软件还包括一个勒索软件组件和一个单独的数据窃取器以及其他几个公开的工具,前两个工具显然都是由该软件的制作者开发的,但其他的这些公开工具本身并不是恶意的,通常被渗透测试人员、系统管理员或技术人员使用。Snatch勒索软件不支持多平台,该软件可以运行在最常见的Windows版本上,