Karmen勒索软件即服务诞生了 单价175美金已经售出20份 而且如果你敢分析它就会自爆

在去年年底,安全加报道了勒索软件+蠕虫病毒结合后会发生什么 利益最大化的驱使下这种可能性非常大,今天勒索软件即服务终于实现了。黑客可以在黑市上花175美金买到一个易于使用的勒索套件, 这个套件名字叫做Karmen。一位名叫 DevBitox 的俄语用户已经在地下论坛上刊登了广告, Recorded Future 安全公司在周二的博客文章中说了未来的记录。

Karmen提供了勒索软件即服务RaaS

Karmen是专家所称的勒索软件即服务,这是一种特别令人不安的趋势。没有技术能力的业余黑客也可以购买对他们的服务,然后就可以收到一整套 web-based 工具来开发自己的勒索攻击。

Karmen提供了一个 易于使用的仪表板接口。买家可以修改勒索设置, 查看他们感染了什么机器, 看看他们赚了多少钱。

为了传播勒索, 黑客通常会依赖于带有附件或包含恶意编码的网站的垃圾邮件的链接。一旦它感染了一台计算机, 勒索就会对里面承载的文件进行加密。为了释放这些文件, 受害者将不得不支付赎金, 通常是比特币。

DevBitox 是Karmen背后的开发商之一, 他们在各种论坛上张贴了信息, 说俄语和英文版本的勒索服务已经对外提供。

Karmen的功能强大 如果你敢分析就自爆

它使用强 AES-256 加密协议对受感染计算机上的文件进行加密。而且, 因为如果在受害人的计算机上检测到沙盒环境或分析软件, 它会自动删除解密器, 即使他们的所有者已经支付赎金, 再也拿不到他们的文件了。

  • Multi-threaded
  • Multi-language
  • Supports .NET 4.0 and newer versions
  • Encryption algorithm: AES-256
  • Adaptive admin panel
  • Encrypts all discs and files
  • Separate BTC wallet for each victim
  • Small size
  • Automatic deletion of loader
  • Automatic deletion of malware (after payment was received)
  • Minimal connection with control server
  • Robust control panel
  • Almost FUD (1/35)
  • Automatic file decryption after received payment
  • T2W compatible
  • File extensions remain the same
  • Detection of anti-debugger/analyzers/VM/sandbox
  • Automatic deletion of decryptor if sandbox environment is detected on victim’s computer*
  • Light version: obfuscation and autoloader only
  • Full version: detection of analyzing software

但据说,绿盟科技的TAC从网络上有办法治它,来看看原理图

TAC是个虚拟执行沙箱设备,不必担心这种勒索软件是否发飙,内部的沙箱临时启用,主要检测恶意软件行为。

Karmen已经售出20份 已经发现了它的攻击事件

Recorded Future称,到目前为止, 黑客已经售出了20份Karmen ,并且已经在德国和美国发现了攻击案例。175美金的费用需要一次性支付

 "这降低了其他犯罪分子进行勒索攻击的屏障, 而且这个勒索软件即服务,并不抽取佣金,允许买家保留100% 的受感染受害者的付款。

但是, Karmen勒索有追索权。这是因为其编码是从一个开源勒索软件项目Hidden Tear而来的。(小编:哈,黑客居然还懂得尊重知识版权)网络犯罪一直使用这个项目来建立自己的勒索软件变种。

另一方面, 安全专家也正在致力于Karmen的免费解密工具,便于受害者免于伤害。Michael Gillespie安全研究员, 开发了他自己的解密密钥生成器, 可以解决基于Hidden Tear构建的勒索软件。他建议受害人与他联系寻求帮助,还开发了一个网站, 可以诊断出哪种类型的勒索感染了计算机, 并提供了如何修复它的建议。

https://id-ransomware.malwarehunterteam.com/

这个网站在今年3月份,解密勒索软件 遭到疯狂报复 Enjey勒索软件在攻击  另外,No More Ransom也是一个可以解密某些勒索感染的免费工具的网站。安全专家建议企业在发生勒索攻击时,对其重要系统进行例行备份。

Update:据悉Github上还有一个开源的勒索软件项目 github.com/YourRansom/YourRansom

发表评论