RansomExx 惡意軟體提供新功能來繞過檢測

APT 組織 DefrayX 推出了其 RansomExx 惡意軟體的新版本，稱為 RansomExx2，這是用 Rust 程式設計語言重寫的 Linux 變體，可能是為了避免被防病毒軟體檢測到，因為 Rust 受益於較低的 AV 檢測率與用更常見的語言編寫的相比，根據 IBM Security X-Force 威脅研究人員的說法。

Rust 除了更難檢測和逆向工程之外，還具有與平臺無關的優勢。因此，雖然新版本的RansomExx在Linux上運行，但IBM預測Windows版本將很快可用，假設它還沒有鬆散和未被發現。

RansomExx 是一個勒索軟體家族，自 2018 年以來一直很活躍。它也被稱為Defray777和Ransom X。從那時起，它就與對政府機構、製造商和其他知名實體（如巴西航空工業公司和技嘉）的多次攻擊有關。

RansomExx2 的工作方式與其C++前身相同，它接受要加密的目標目錄清單作為命令行輸入。運行時，勒索軟體會遞歸遍歷每個指定的目錄，並使用 AES-256 演算法枚舉和加密檔。

作為輸入，勒索軟體希望獲得要加密的目錄路徑清單。如果沒有參數傳遞給它，它不會加密任何內容。勒索軟體需要以下命令行格式才能正確執行。

當勒索軟體被執行時，它會通過指定的目錄傳播，識別和加密檔。除贖金票據和以前加密的檔外，所有大於或等於 40 位元組的檔都被加密。

每個加密檔都有自己的檔擴展名。RansomExx 勒索軟體文件擴展名通常基於目標公司名稱的變體，有時後跟數位，例如“911”或隨機字元。

IBM報告說，它分析的一個樣本“在首次提交後至少2周內未在VirusTotal平臺中被檢測到為惡意”，並且“新樣本仍然只有平臺中代表的60 + AV供應商中的14個檢測到。

這篇文章的來源包括 DarkReading的一篇文章。

總結

文章名稱

RansomExx 惡意軟體提供新功能來繞過檢測

描述

APT組織DefrayX推出了新版本的RansomExx惡意軟體，稱為RansomExx2，用Rust程式設計語言重寫。

作者

奧班拉·奧佩亞米

發行者名稱

燕尾服護理

發行者徽標