近日,亚信安全监测到Royal 勒索软件异常活跃,对医疗系统似乎格外“偏爱”的同时,持续通过第三方网站、垃圾邮件附件、恶意广告、后门程序以及虚假安装程序等方式传播,给受害者带来金钱和声誉上的双重损失。
关于Royal
Royal 勒索软件最早于 2022 年 9 月首次被发现,其经历了多次迭代更新。有研究人员发现,Royal 勒索软件最初使用的是其他勒索家族(如 BlackCat)的加密器,但他们很快转向使用自己的加密器,其中,Zeon是该组织使用自己的加密器生成的第一个勒索家族,该家族的勒索信与Conti 勒索家族类似。Royal 勒索软件家族会在伪装成合法的下载网站以及 GitHub 和 OneDrive 等合法网站上托管虚假安装程序文件,并将恶意广告通过推广服务有效融入正常的广告流量,诱导受害者下载运行。
Royal的攻击流程
Royal 勒索软件通过伪装成合法的应用程序,诱导受害者下载运行它,作为勒索软件传播的接入点。该勒索软件程序支持命令行参数,"-path"参数用于加密指定目录下的文件,"-id"参数用于标识用户计算机,但无论是否提供了任何一个参数,都会删除卷影副本防止受害者恢复备份。在加密过程中,该勒索使用了 OpenSSL 库,通过 BCryptGenRandom 函数生成随机密钥,并混合使用了AES 和 RSA 算法,使用 AES 算法对文件数据进行加密,并将加密后的数据写入文件中,然后使用 RSA 公钥对随机生成的加密密钥进行加密,并在加密文件尾部写入被加密过的密钥,最后在文件夹中留下勒索信息说明文件。
【Royal 勒索软件攻击流程图】
亚信安全产品解决方案
安全建议