【安全资讯】处于开发阶段的Chaos勒索软件构建器

引言

自2021年6月以来，研究人员一直在观察一种名为 Chaos 的勒索软件构建器，目前正处于开发阶段，其作者在地下论坛上对软件进行测试。虽然它据称是Ryuk勒索软件的 .NET 版本，但在仔细检查样本后发现，Chaos更像是一种破坏性的木马程序，而不是传统的勒索软件。

简况

Chaos 自 6 月以来一直在快速更新演变，6 月 9 日发布了 1.0 版，6 月 17 日发布了 2.0 版，7 月 5 日发布了 3.0 版，8 月 5 日发布了 4.0 版。Chaos builder的第一个版本与勒索软件几乎没有共同之处，它没有加密文件，而是用随机字节替换文件的内容，之后文件以 Base64 编码。这意味着无法再恢复受影响的文件，也就没有迫使受害者支付赎金的理由。事实上，它并不是传统的勒索软件，而是一种破坏性的木马。第一个版本的 Chaos 会搜索各种文件路径和扩展名以进行感染，然后释放名为 read_it.txt 的勒索软件说明，要求支付赎金。Chaos 1.0 版还具有蠕虫功能，可以传播到受影响系统的所有驱动器上，允许恶意软件转到可移动驱动器上并从气隙系统中逃脱。显示蠕虫功能的代码如下：

Chaos 的第二个版本增加了管理员权限的高级选项、删除所有卷影副本和备份目录的能力，以及禁用 Windows 恢复模式的能力。在 3.0 版本中，Chaos 勒索软件构建器获得了使用 AES/RSA 加密对 1 MB 以下的文件进行加密的能力，使其更像传统勒索软件。它还带有自己的解密器构建器。Chaos 的第四次迭代扩展了 AES/RSA 加密功能，可以加密最大 2MB 的文件。此外，它还能够将自己的扩展名添加到受影响的文件中，并能够更改受害者的桌面墙纸。

总结

目前，研究人员发现还没有观察到 Chaos 的攻击活动。研究人员表示，Chaos 勒索软件构建器还不足以作为成熟的勒索软件进行攻击，因为它缺乏许多勒索软件家族拥有的功能，例如从受害者那里收集数据的能力。如果不支付赎金，这些数据可用于进一步勒索。