我的编程空间,编程开发者的网络收藏夹
学习永远不晚

揭开勒索软件LostTrust的神秘面纱

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

揭开勒索软件LostTrust的神秘面纱

LostTrust勒索软件于2023年3月开始积极活动,并攻击了多个企业和组织,但直到9月份才被广大研究人员所知晓,因为在今年的9月份,LostTrust勒索软件背后的“始作俑者”才开始在数据泄露网站上发布相关的数据泄露信息。

到目前为止,该数据泄露网站泄露的信息已经影响了全球范围内至少53个企业和组织,而其中的部分组织因为拒绝支付数据赎金,从而导致他们的数据被泄露了出来。

目前,我们还不知道LostTrust勒索软件背后的攻击者是否只会针对Windows设备实施勒索软件攻击,同时也无法确定是否使用了Linux加密程序。

真的是MetaEncryptor换个名字卷土重来了吗?

MetaEncryptor勒索软件家族,从2022年8月份“浮出水面”,截止至2023年7月份,其数据泄露网站上已出现了12个受影响的企业和组织,但至此之后该网站就再也没有出现过新的受影响组织了。

就在今年的10月份,LostTrust勒索软件组织又上线了一个新的数据泄露网站,而网络安全专家Stefano Favarato通过分析后就发现,这个新上线的数据泄露网站跟MetaEncryptor当初所使用的数据泄露网站有着相同的模版和简介信息。

MetaEncryptor和LostTrust都在其数据泄露网站上的描述中写道了下列内容:

“我们是一群年轻的网络安全领域中的专家,并且拥有至少15年的从业经验。这个博客和我们的产品仅供商业用途,我们与其他任何机构或当局没有任何的关系。”

研究人员还发现,LostTrust [ VirusTotal ] 和 MetaEncryptor [ VirusTotal ] 所使用的加密程序几乎是相同的,而且只是在勒索信息、嵌入式公共密钥、勒索信息文件名称和加密文件扩展名方面进行了一些微调而已。

除此之外,网络安全研究团队MalwareHunterTeam表示,LostTrust和MetaEncryptor都是基于SFile2勒索软件加密器实现的,而Intezer的分析和扫描也进一步证实了这一点,并发现LostTrust使用了大量的SFile加密器代码。

由于这两个程序之间存在着大量的相同之处和代码重叠,因此安全社区也普遍认为LostTrust只是MetaEncryptor勒索软件换了个名字罢了。

LostTrust 加密程序分析

我们在对LostTrust所使用的加密程序样本进行分析之后,发现了下列内容。

攻击者可以使用两个可选的命令行参数来启动加密程序,即--onlypath(加密一个指定路径)和 --enable-shares(加密网络共享)。

启动之后,加密程序会打开一个控制台终端,并显示当前的加密过程和状态:

请大家注意上图加密程序中的“METAENCRYPTING”字符串,这也表明它就是修改后的MetaEncryptor加密程序。

在执行过程中,LostTrust 将禁用并停止大量 的Windows 服务,以确保所有文件都可以加密,包括任何包含 Firebird、MSSQL、SQL、Exchange、wsbex、postgresql、BACKP、tomcat、SBS 和 SharePoint 字符串的服务。除此之外,加密程序还将禁用和停止与 Microsoft Exchange 相关的其他服务。

在加密文件时,加密程序还会将.losttrustencoded 扩展名附加到加密文件的名称中:

接下来,LostTrust勒索软件会在目标设备上的每一个被加密的文件夹中创建一个名为“!LostTrustEncoded.txt”的勒索软件信息文件,而且攻击者还会在勒索信息中声称自己以前是白帽黑客,但是因为收入微薄(客户认为漏洞严重程度非常低,所以报酬低),所以才会做勒索软件攻击这样的事情。

这些勒索软件信息包含了跟受影响组织被加密文件的相关信息,以及一个指向了跟攻击者谈判的Tor网站地址。但这个Tor谈判网站制作的非常简陋,只有一个聊天功能,可以给受影响组织跟LostTrust勒索软件团伙进行谈判。

据悉,LostTrust勒索软件攻击所要求的数据赎金从10万美元到数百万美元不等。

使用数据泄露网站来威胁和震慑目标组织

跟其他的勒索软件攻击活动一样,LostTrust也利用了Tor数据泄露网站来威胁和震慑受影响的组织或企业,并威胁如果不支付数据赎金,便会将他们的数据泄露到互联网中。

目前为止,受LostTrust勒索软件攻击活动影响的企业和组织至少有53家,而其中的某些组织数据已经被泄露了。

当前我们尚不清楚如果真的支付了数据赎金,组织的数据是否能够成功解密并追回。

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

揭开勒索软件LostTrust的神秘面纱

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

揭开勒索软件LostTrust的神秘面纱

LostTrust勒索软件于2023年3月开始积极活动,并攻击了多个企业和组织,但直到9月份才被广大研究人员所知晓。

探索Golang Web:揭开其神秘面纱

Golang(又称Go语言)作为一门开源的编程语言,在近年来迅速崛起并广受开发者青睐。其简洁的语法结构、高效的并发处理能力以及强大的标准库都为其赢得了良好的声誉。在Web开发领域,Golang也有着出色的表现,尤其在构建高性能、高并发的We
探索Golang Web:揭开其神秘面纱
2024-03-06

揭开向量索引概念的神秘面纱

本文将向你深入浅出地揭示机器学习世界里你可能一直想了解的关于(向量)索引的一切神秘内容。索引在数据检索中起着核心作用。由于数据检索可能仍然是数据技术的关键组成部分,因此了解索引(包括向量索引)是关于什么的至关重要。

揭开 Python CPython 的神秘面纱

Python CPython 是 Python 语言最受欢迎的实现,在本文中,我们将深入探索 CPython 的内部机制,包括其架构、内存管理和优化技术,帮助您更深入地理解 Python 的底层实现。
揭开 Python CPython 的神秘面纱
2024-03-04

揭开云计算的神秘面纱

下课铃声响了,大雄、静香和叮当一起背着书包放学啦。走着走着大雄突然“啊”了一声说,我U盘忘带了,一会还要去打印课件呢,我得回去取。

揭开SQL中NULL的神秘面纱

这篇文章将揭开 SQL 中 NULL 的神秘面纱。这个问题可能困扰着很多初级开发者。在查询数据库时,如果你想知道一个列是否为 NULL,SQL 查询语句该怎么写呢?是不是这样:SELECT * FROM SOME_TABLEWHER
2023-01-04

揭开JVM中TLAB中的神秘面纱

在开始文章之前,我这里暂且认为大家已经明白了JVM创建对象分配内存地址的流程,也知道JVM内存划分。基于人道主义我还是放一张图吧,大家对照着看。
JVM对象内存2024-12-03

揭开 JavaScript 数据类型的神秘面纱

JavaScript 数据类型的多样性让程序员掌握其细微差别至关重要。本文深入探究 JavaScript 的数据类型,阐明它们的特点和应用,以帮助您写出高效、健壮的代码。
揭开 JavaScript 数据类型的神秘面纱
2024-03-06

揭开智能指针 Box 的神秘面纱

Box 会在堆上分配空间,存储 T 值,并返回对应的指针。同时 Box 也实现了 trait Deref 解引用和 Drop 析构,当 Box 离开作用域时自动释放空间。
智能指针Box2024-12-02

揭开Linux命令Bash history的神秘面纱

本文将揭开Bash history的神秘面纱,使之成为一个更友好的系统管理工具。

ASP Core 的内幕:揭开 MVC 的神秘面纱

ASP Core MVC 框架为构建动态和响应迅速的 Web 应用程序提供了坚实的基础。揭开其内部机制,了解其组件、管道和请求处理过程。
ASP Core 的内幕:揭开 MVC 的神秘面纱
2024-03-07

一文揭开操作系统的神秘面纱

在如今的世界里,绝大多数人都会对Windows,Linux及MacOS等操作系统有一定的使用经验,但是很多时候对操作系统本身并没有太多感知。毕竟与用户直接打交道的大多数是各种炫酷的客户端软件,包含精美的字体、图标和图片等。
操作系统2024-12-10

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录