Rorschach勒索软件拥有迄今为止最快的文件加密程序

一种名为Rorschach ransomware的新勒索软件支持迄今为止观察到的最快的文件加密例程。

Check Point Research (CPR)和Check Point事件响应小组 (CPIRT) 的研究人员检测到一种以前未知的勒索软件变种，称为 Rorschach 勒索软件，它被用于攻击一家美国公司。

专家指出，Rorschach勒索软件似乎是独一无二的。根据Check Point发布的报告，Rorschach是迄今为止观察到的速度最快的勒索软件之一。

研究人员在受控环境（6个CPU、8192MB RAM、SSD和220000个要加密的文件）中进行了五次单独的加密速度测试，仅限于本地驱动器加密。以下是测试结果：

勒索软件	加密的平均近似时间
LockBit v.3	7分钟
Rorschach	4分30秒

“原来我们镇上来了一个新的速度恶魔。更值得注意的是，Rorschach勒索软件是高度可定制的。通过命令行参数调整加密线程数--thread，可以达到更快的速度。”

该恶意软件是高度可定制的，并包含独特的功能，例如使用直接系统调用。

攻击者使用Cortex XDR转储服务工具（一种已签名的商业安全产品）的DLL侧载来部署勒索软件。

Rorschach勒索软件使用以下文件：

• cy.exe ——Cortex XDR 转储服务工具版本7.3.0.16740，被滥用于旁加载winutils.dll
• winutils.dll– 打包的Rorschach加载程序和注入器，用于解密和注入勒索软件。
• config.ini– 包含所有逻辑和配置的加密Rorschach勒索软件。

“在执行cy.exe时，由于DLL侧加载，加载器/注入器winutils.dll被加载到内存中并在cy.exe的上下文中运行。主要的Rorschach有效载荷config.ini随后也被加载到内存中，解密并注入到勒索软件逻辑开始的notepad.exe中。

该勒索软件独特地生成进程，以SUSPEND模式运行它们并提供伪造的凭据以加强分析和补救工作。伪造参数由基于真实参数长度的数字1的重复字符串组成，在内存中重写，并用真实参数替换。

勒索软件使用此技术停止预定义的服务列表、删除影子卷和备份、清除以下Windows事件日志并禁用Windows防火墙。

勒索软件还支持自我传播过程，当它在Windows域控制器(DC)上执行时，恶意软件会自动创建组策略，将自身传播到域内的其他机器。类似的功能首先由LockBit 2.0实现，但专家指出，Rorschach Ransomware GPO部署的执行方式不同。

Rorschach还支持有效的二进制和反分析保护技术和规避机制。

研究人员还发现了多个隐藏和混淆的内置选项，操作员可以使用这些选项远程控制勒索软件。

与其他勒索软件一样，Rorschach不会感染独联体国家/地区使用的系统。

“它的开发人员实施了新的反分析和防御规避技术来避免检测，并使安全软件和研究人员更难分析和减轻其影响。此外，Rorschach 似乎从在线泄露的一些主要勒索软件中提取了一些“最佳”功能，并将它们整合在一起。除了Rorschach的自我传播能力外，这还提高了勒索攻击的门槛。”“Rorschach 勒索软件的运营商和开发商仍然未知。他们不使用品牌，这在勒索软件操作中相对罕见。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5538.html