暗网dark power 新勒索软件正席卷全球 -尊龙凯时网址

近日，出现了一种名为“dark power”（暗网）的新勒索软件操作，它已经在一个暗网数据泄露网站上列出了第一批受害者，并威胁说如果不支付赎金就公布数据全球留学网。

勒索软件团伙的加密器的编译日期是 2023 年 1 月 29 日，即攻击开始的时间全球留学网。

此外，该操作尚未在任何黑客论坛或暗网空间上推广；因此它可能是一个私人项目全球留学网。

据分析 dark power 的trellix称，这是一种针对全球组织的机会主义勒索软件操作，要求支付相对较小的 10,000 美元赎金全球留学网。

黑暗力量攻击细节

dark power 有效载荷是用 nim 编写的，nim 是一种跨平台编程语言，具有多个与速度相关的优势，使其适用于性能关键型应用程序，如勒索软件全球留学网。

此外，由于 nim 现在才开始在网络犯罪分子中越来越受欢迎，它通常被认为是不太可能被防御工具检测到的利基选择全球留学网。

trellix 没有提供有关 dark power 感染点的详细信息，但它可能是一种利用、网络钓鱼电子邮件或其他方式全球留学网。

执行时，勒索软件会创建一个随机的 64 个字符长的 ascii 字符串，用于在每次执行时使用唯一密钥初始化加密算法全球留学网。

接下来，勒索软件会终止受害者机器上的特定服务和进程，以释放文件进行加密，并最大限度地减少任何阻止文件锁定进程的可能性全球留学网。

在此阶段，勒索软件还会停止其硬编码列表中的卷影复制服务 (vss)、数据备份服务和反恶意软件产品全球留学网。

终止的进程和服务

杀死上述所有服务后，勒索病毒会休眠30秒，并清除控制台和windows系统日志，以防止数据恢复专家分析全球留学网。

加密使用 aes（crt 模式）和启动时生成的 ascii 字符串全球留学网。生成的文件被重命名为“.dark_power”扩展名。

有趣的是，该勒索软件有两个版本在野外流传，每个版本都有不同的加密密钥方案全球留学网。

第一个变体使用 sha-256 算法对 ascii 字符串进行哈希处理，然后将结果分成两半，使用第一部分作为 aes 密钥，第二部分作为初始化向量 (nonce)全球留学网。

第二种变体使用 sha-256 摘要作为 aes 密钥，并使用固定的 128 位值作为加密随机数全球留学网。

dll、lib、ini、cdm、lnk、bin 和 msi 等系统关键文件，以及程序文件和网络浏览器文件夹，都被排除在加密之外，以保持受感染计算机的运行，从而使受害者能够查看赎金注意并联系攻击者全球留学网。

从加密中排除的文件和文件夹

赎金票据最后一次修改是在 2023 年 2 月 9 日，它给受害者 72 小时的时间将 10,000 美元的 xmr（门罗币）发送到提供的钱包地址，以获得可用的解密器全球留学网。

与其他勒索软件操作相比，dark power 的赎金记录很突出，因为它是一个 8 页的 pdf 文档，其中包含有关发生的事情以及如何通过 qtox 信使联系他们的信息全球留学网。

受害者和活动

截止到目前，dark power 的 tor 站点处于离线状态全球留学网。然而，随着与受害者谈判的深入，勒索软件门户定期下线的情况并不少见。

trellix 报告说，它已经看到来自美国、法国、以色列、土耳其、捷克共和国、阿尔及利亚、埃及和秘鲁的十名受害者，因此目标范围是全球性的全球留学网。

dark power 组织声称从这些组织的网络中窃取了数据，并威胁说如果他们不支付赎金，就会公开这些数据，所以它又是一个双重勒索组织全球留学网。

精彩推荐

cisa警告：美国八个工业控制系统存在多个高危漏洞

2023.03.24

国内某购物app因“恶意软件”被谷歌下架

2023.03.23

以拉丁美洲为目标的银行木马盗取多达90,000份账户凭证

2022 .03.22