NailaoLocker 勒索軟體:對歐洲組織的威脅日益加劇
Table of Contents
什麼是NailaoLocker勒索軟體?
NailaoLocker 是一個用 C++ 編寫的勒索軟體類型程序,旨在加密受害者的文件並要求支付解密費用。據發現,這項威脅針對的是歐洲的組織,包括醫療保健產業的組織。雖然尚未明確證明該組織與任何已知的網路犯罪集團有關聯,但其策略與臭名昭著的中國犯罪集團類似。
一旦 NailaoLocker 滲透到系統,它就會加密檔案並在其名稱後面附加「.locked」副檔名。例如,名為「document.pdf」的檔案加密後會顯示為「document.pdf.locked」。在此過程之後,勒索軟體會產生一封勒索信,警告受害者不支付所要求金額的後果。
NailaoLocker 勒索軟體的要求
贖金通知告知受害者,他們的文件已被加密,只有支付比特幣贖金才能恢復。雖然具體金額尚未確定,但訊息警告稱,如果一周內不遵守規定,將導致受影響的文件被刪除。攻擊者聲稱,一旦付款,解密將在 24 小時內完成。
也建議受害者不要篡改加密文件。嘗試使用第三方應用程式移動、刪除或解密它們可能會導致永久性資料遺失。然而,儘管有這些警告,即使支付贖金也不能保證攻擊者會提供解密工具。
以下是完整的贖金紀錄:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
執行力較弱的勒索病毒
與更高級的勒索軟體不同,NailaoLocker 缺乏反調試功能,並且在加密之前不會停用關鍵系統進程或服務。這種疏忽意味著,如果重要的系統檔案被加密,作業系統可能會變得無法使用。此外,雖然一些勒索軟體透過竊取敏感資料進行雙重勒索,但 NailaoLocker 的勒索信中並沒有明確提到資料外洩。
鑑於我們在勒索軟體感染方面的豐富經驗,我們可以得出結論,如果沒有攻擊者的合作,解密通常是不可能的。即使在支付了贖金的情況下,網路犯罪者也常常無法提供承諾的解密金鑰。強烈反對透過支付贖金來支持這種非法活動。
防止 NailaoLocker 造成進一步損害
從受感染的系統中刪除 NailaoLocker 可以防止額外的檔案加密,但不會恢復受損的資料。恢復加密檔案的唯一有效方法是透過與受感染系統分開儲存的備份。這凸顯了在多個位置維護備份的重要性,例如未插電的外部儲存設備和遠端伺服器。
NailaoLocker 與其他勒索軟體的相似之處
NailaoLocker 遵循與其他勒索軟體威脅相同的模式,例如Vgod 、 CipherLocker 、 FXLocker 、 SafePay和DeathHunters 。所有這些程式都會加密檔案並要求付費才能恢復。然而,它們在兩個關鍵方面有所不同:所使用的加密演算法(對稱或非對稱)和贖金金額,贖金金額根據目標是個人用戶還是大型組織而有所不同。
儘管NailaoLocker相對不太複雜,但對於缺乏強大網路安全措施的企業和機構來說,它仍然構成重大威脅。勒索軟體團夥通常會針對目標網路中的特定漏洞來制定攻擊計畫。
NailaoLocker 如何滲透系統
在觀察到的針對歐洲組織的攻擊中,NailaoLocker 是透過利用 Check Point VPN 應用程式中的漏洞來部署的,該漏洞可能是被標識為「CVE-2024-24919」的漏洞。該威脅是透過 ShadowPad 惡意軟體或 PlugX 遠端存取木馬 (RAT) 引入的。然而,這種勒索軟體也可以透過其他常見的分發方法傳播。
網路犯罪分子經常依賴網路釣魚和社會工程手段來傳播勒索軟體。惡意軟體經常偽裝成或捆綁在看似無害的檔案之中。一旦打開,這些檔案就會啟動惡意軟體的下載和執行。
常見的勒索軟體傳播方法
類似NailaoLocker的勒索軟體通常透過多種方式傳播,包括:
- 從受感染或惡意網站驅動程式下載
- 載入程式/後門類型的威脅
- 可疑的下載來源,例如第三方文件託管平台和點對點共享網絡
- 旨在誘騙用戶執行惡意檔案的網路詐騙
- 惡意廣告活動將有害廣告注入合法網站
- 包含受感染附件或連結的垃圾郵件和即時訊息
- 仿冒軟體更新與非法啟動工具(「破解」)
- 透過本地網路和可移動儲存裝置自我傳播
這些策略使勒索軟體能夠迅速傳播並感染組織內的多個系統,從而擴大其影響力。
避免勒索軟體感染的最佳做法
為了降低勒索軟體感染的風險,使用者和組織應採取以下安全措施:
- 僅從官方和信譽良好的網站下載軟體
- 使用合法的更新功能定期更新程序
- 打開來自未知寄件者的電子郵件時要小心,尤其是包含附件或連結的電子郵件
- 採用強大的網路安全措施,包括防火牆和入侵偵測系統
- 維護關鍵資料的離線和雲端備份
- 教育員工識別網路釣魚和其他社會工程攻擊
透過實施這些做法,個人和企業可以顯著降低遭受NailaoLocker攻擊或遭遇類似威脅的可能性。
結論
NailaoLocker 勒索軟體雖然不是最複雜的病毒,但對組織(尤其是歐洲的組織)構成了真正的威脅。它對標準加密策略和贖金要求的依賴使其與其他勒索軟體程式保持一致,但缺乏先進的逃避技術可能會限制其整體有效性。
就像所有勒索軟體一樣,預防才是最好的防禦。使用者應保持警惕,採用最佳安全實踐,並確保關鍵資料備份在安全的地方。由於支付贖金並不能保證資料恢復,因此首先避免感染是至關重要的。
