NailaoLocker 勒索软件:对欧洲组织的威胁日益加剧
Table of Contents
什么是NailaoLocker勒索软件?
NailaoLocker 是一个用 C++ 编写的勒索软件类型的程序,旨在加密受害者的文件并要求付费才能解密。据观察,这种威胁针对的是欧洲的组织,包括医疗保健行业的组织。虽然尚未明确将其与任何已知的网络犯罪集团联系起来,但其策略类似于臭名昭著的中国附属行为者的策略。
一旦 NailaoLocker 入侵系统,它就会加密文件并在其名称后附加“.locked”扩展名。例如,名为“document.pdf”的文件在加密后将显示为“document.pdf.locked”。在此过程之后,勒索软件会生成一封勒索信,警告受害者不支付所要求的金额将导致严重后果。
NailaoLocker 勒索软件的要求
勒索信告知受害者,他们的文件已被加密,只有支付比特币赎金才能恢复。虽然具体金额未指定,但该消息警告说,如果一周内不支付赎金,受影响的文件将被删除。攻击者声称,一旦付款,解密将在 24 小时内完成。
受害者还被建议不要篡改加密文件。尝试使用第三方应用程序移动、删除或解密这些文件可能会导致永久性数据丢失。然而,尽管有这些警告,但即使支付了赎金,也不能保证攻击者会提供解密工具。
以下是完整的赎金记录:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
执行力较弱的勒索病毒
与更高级的勒索软件不同,NailaoLocker 缺乏反调试功能,并且在加密之前不会禁用关键系统进程或服务。这种疏忽意味着,如果关键系统文件被加密,操作系统可能会变得无法使用。此外,虽然一些勒索软件通过窃取敏感数据进行双重勒索,但 NailaoLocker 的勒索信中并未明确提到数据泄露。
鉴于我们在勒索软件感染方面拥有丰富的经验,我们可以得出结论,没有攻击者的合作,解密通常是不可能的。即使在支付赎金的情况下,网络犯罪分子也常常无法提供承诺的解密密钥。强烈反对通过支付赎金来支持这种非法活动。
防止 NailaoLocker 造成进一步损害
从受感染的系统中删除 NailaoLocker 可以防止进一步的文件加密,但无法恢复受损数据。恢复加密文件的唯一有效方法是通过与受感染系统分开存储的备份。这凸显了在多个位置(例如未插电的外部存储设备和远程服务器)维护备份的重要性。
NailaoLocker 与其他勒索软件的相似之处
NailaoLocker 与其他勒索软件威胁(例如Vgod 、 CipherLocker 、 FXLocker 、 SafePay和DeathHunters)的模式相同。所有这些程序都会加密文件并要求付费才能恢复。但它们在两个关键方面有所不同:使用的加密算法(对称或非对称)和赎金金额,赎金金额取决于目标是个人用户还是大型组织。
尽管 NailaoLocker 相对简单,但它仍然对缺乏强大网络安全措施的企业和机构构成重大威胁。勒索软件团体通常会根据目标网络中的特定漏洞来定制攻击。
NailaoLocker 如何渗透系统
在观察到的针对欧洲组织的攻击中,NailaoLocker 是通过利用 Check Point VPN 应用程序中的漏洞(可能是被标识为“CVE-2024-24919”)来部署的。该威胁是通过 ShadowPad 恶意软件或 PlugX 远程访问木马 (RAT) 引入的。但是,这种勒索软件也可以通过其他常见的分发方法传播。
网络犯罪分子经常依靠网络钓鱼和社会工程手段来传播勒索软件。恶意软件通常伪装成看似无害的文件或与这些文件捆绑在一起。一旦打开这些文件,恶意软件就会开始下载和执行。
常见的勒索软件传播方法
类似NailaoLocker的勒索软件通常通过多种方式传播,包括:
- 从受感染或恶意网站进行驱动下载
- 加载程序/后门类型的威胁
- 可疑的下载源,例如第三方文件托管平台和点对点共享网络
- 旨在诱骗用户执行恶意文件的在线诈骗
- 恶意广告活动将有害广告注入合法网站
- 包含受感染附件或链接的垃圾邮件和即时消息
- 假冒软件更新和非法激活工具(“破解”)
- 通过本地网络和可移动存储设备自我传播
这些策略使勒索软件能够迅速传播并感染组织内的多个系统,从而扩大其影响。
避免勒索软件感染的最佳做法
为了降低勒索软件感染的风险,用户和组织应采取以下安全措施:
- 仅从官方和信誉良好的网站下载软件
- 使用合法的更新功能定期更新程序
- 打开来自未知发件人的电子邮件时要小心,尤其是包含附件或链接的电子邮件
- 采用强大的网络安全措施,包括防火墙和入侵检测系统
- 维护关键数据的离线和云备份
- 教育员工识别网络钓鱼和其他社会工程攻击
通过实施这些做法,个人和企业可以显著降低遭受NailaoLocker攻击或遭遇类似威胁的可能性。
结论
NailaoLocker 勒索软件虽然不是最复杂的勒索软件,但对组织(尤其是欧洲组织)构成了真正的威胁。它依赖标准加密策略和赎金要求,这与其他勒索软件程序类似,但缺乏先进的规避技术可能会限制其整体有效性。
与所有勒索软件一样,预防才是最好的防御。用户应保持警惕,采取最佳安全措施,并确保将关键数据备份到安全位置。由于支付赎金并不能保证数据恢复,因此首先避免感染至关重要。
