近日，瑞星威脅情報中心捕獲到一款新型勒索軟件，名為“Megazord”，其獨特之處在于采用了新型的加密技術和運行方式，以提高攻擊效率，增加分析難度。目前，瑞星安全人員發(fā)現(xiàn)，已有勒索數(shù)據(jù)被放置在黑客組織自制網(wǎng)站上供人下載，這對全球范圍內(nèi)的眾多企業(yè)構(gòu)成了威脅。

圖：存放勒索企業(yè)數(shù)據(jù)的黑客網(wǎng)站

瑞星安全專家在該勒索組織網(wǎng)站發(fā)現(xiàn)，Green Diamond（林業(yè)公司）、Datawatch Systems（數(shù)據(jù)公司）和Boson（軟件公司）等美國企業(yè)均“榜上有名”，成為了勒索軟件的目標。而訪問者可隨意下載這些企業(yè)的相關數(shù)據(jù)，估計只有交付了贖金的企業(yè)，數(shù)據(jù)才會被“下架”。

圖：數(shù)據(jù)被勒索的三家美國企業(yè)

新型加密方式 讓攻擊速度更快 效率更高

瑞星安全專家介紹，Megazord勒索軟件之所以新穎，是因為使用了目前流行的Rust語言編寫，同時運用了不常見的curve25519橢圓曲線非對稱加密算法和sosemanuk對稱加密算法的組合來進行加密，加密后文件的后綴名為.powerranges，并會在每個文件夾下釋放一個勒索信。（Megazord勒索軟件為Akira勒索軟件全新的變種，Akira勒索軟件于2023年3月出現(xiàn)。）

圖：勒索信

勒索信中有兩個網(wǎng)址，第一個網(wǎng)址，可以讓受害者看到一些公司被竊的數(shù)據(jù)；第二個網(wǎng)址，則教受害者支付贖金的方法，同時可以進入勒索團伙的聊天系統(tǒng)，與團伙成員進行談判。

圖：與勒索團伙的聊天窗口

這種新的加密方式要比原有方式更加復雜，不容易被破解，而且加密速度也會更快，效率更高，這對于攻擊者來說更“高效”。

不同以往的運行方式 增加了分析難度以躲避檢測

不僅如此，Megazord勒索軟件還有一個與眾不同的特點，那就是與大部分雙擊運行的勒索軟件相比，它在被攻擊者投放之后，需要輸入一個特定的參數(shù)才能運行。這樣做的好處是，增加了分析難度，躲避檢測機制，更加“安全”。

瑞星安全專家介紹，目前已有越來越多的黑客組織在勒索的同時，采取文件竊取的方式來“綁架”企業(yè)的機密數(shù)據(jù)或隱私文件，這種“雙重勒索”極大地提高了敲詐贖金的成功幾率，因此企業(yè)用戶應加強防范，注意以下幾點：

1. 部署EDR、NDR產(chǎn)品。

利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點，以便更快響應和處理。

2. 安裝有效的殺毒軟件，攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。目前，瑞星旗下產(chǎn)品已可查殺“Megazord”勒索軟件，廣大用戶可安裝使用。

圖：瑞星ESM防病毒終端安全防護系統(tǒng)查殺“Megazord”勒索軟件