勒索软件综述

FortiGuard 实验室每两周收集有关勒索软件变体的数据，这些变体在我们的数据集和 OSINT 社区中越来越受到关注。勒索软件综述报告旨在为读者提供有关不断演变的勒索软件格局以及防范这些变体的 Fortinet 解决方案的简要见解。

本版勒索软件综述涵盖了 Retch 和 SHO 勒索软件。

受影响的平台：Microsoft Windows

受影响方：Microsoft Windows 用户

影响：加密和泄露受害者的文件，并要求赎金以进行文件解密

严重级别：高

Retch 勒索软件概述

Retch 是一种新的勒索软件变种，于 2023 年 8 月中旬首次发现。它对受感染计算机上的文件进行加密，并留下两张勒索字条，要求受害者支付赎金以进行文件解密。

感染载体

目前无法获得有关 Retch 勒索软件威胁行为者所使用的感染媒介的信息。然而，它不太可能与其他勒索软件组有显着不同。

Retch 勒索软件样本已提交给来自以下国家/地区的公共文件扫描服务：

• 美国
• 伊朗
• 德国
• 俄罗斯
• 法国
• 哥伦比亚
• 韩国
• 意大利

勒索软件执行

勒索软件运行后，它会查找并加密具有以下文件扩展名的文件：

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb,   .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos .mov, .vdf, .ztmp .sis, .sid, .ncf,           .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x,        .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl,  .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk,           .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .p7c, .pk7, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .pptm, .xlk, .xlsb, .xlsm, .wps, .docm, .odb, .odc, .odm, .odp, .ods, .cs, .exe, .lnk, .mpeg, .mp3, .mkv, .divx, .ogg, .wav, .bat, .index, .flac, .vob, .mpg

以下目录被排除在文件加密之外：

• "Windows"
• "Program Files"
• "Program Files (x86)"

该勒索软件为加密文件添加了“.Retch”扩展名。

图 1：Retch 勒索软件加密的文件

然后，它会在每个加密文件的文件夹中放置一张标有“Message.txt”的勒索字条。

图 2：Retch 勒索软件投放的勒索字条

在勒索信中，Retch 攻击者要求受害者支付价值 300 欧元的比特币用于文件解密。由于赎金需求较低，Retch 勒索软件很可能用于针对消费者而不是企业。如图 2 所示，勒索信息有法语和英语版本，这让我们相信 Retch 勒索软件主要针对法国用户。然而，进一步调查发现事实并非如此。

我们还发现桌面上的勒索信与“Message.txt”不同。桌面上留下的勒索字条标有“HOW TO RECOVER YOUR FILES.txt”，并要求受害者支付价值 1000 美元的比特币用于文件解密。该勒索信具有不同的联系电子邮件地址，并包含攻击者的比特币钱包地址。

图 3：Retch 勒索软件在桌面上留下勒索字条“HOW TO RECOVER YOUR FILES.txt”

事实证明，Retch 勒索软件是基于公开的勒索软件源代码开发的，该勒索软件声称用于教育目的，该源代码似乎是基于著名的开源勒索软件“HiddenTear”。该开源勒索软件默认带有如图 2 所示的勒索字条。攻击者似乎只定制了桌面上的勒索字条，而且只有英文，而所有其他位置的勒索字条均未受影响。这表明 Retch 勒索软件并不像我们最初想象的那样针对法国用户。如前所述，向公共文件扫描服务提交文件的国家/地区非常广泛，这进一步表明我们的怀疑是正确的。

在我们调查时，攻击者的比特币钱包尚未记录任何交易。

SHO 勒索软件概述

感染载体

目前尚无有关 SHO 勒索软件威胁行为者所使用的感染媒介的信息。然而，它不太可能与其他勒索软件组有显着不同。

SHO 勒索软件样本已提交给以下国家/地区的公共文件扫描服务：

• 美国
• 加拿大

勒索软件执行

勒索软件运行后，会加密受感染计算机上的文件，并添加五个随机字母和数字作为文件扩展名。

图 4：SHO 勒索软件加密的文件

SHO 尝试加密具有以下扩展名的文件：

.myd, .ndf, .qry, .sdb, .sdf, .tmd, .tgz, .lzo, .txt, .jar, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .mka, .mhtml, .oqy, .png, .csv, .py, .sql, .indd, .cs, .mp3, .mp4, .dwg, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .dib, .dic, .dif, .mdb, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .xla, .cub, .dae, .divx, .iso, .7zip, .pdb, .ico, .pas, .db, .wmv, .swf, .cer, .bak, .backup, .accdb, .bay, .p7c, .exif, .vss, .raw, .m4a, .wma, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .jpeg, .xz, .mpeg, .torrent, .mpg, .core, .flv, .sie, .sum, .ibank, .wallet, .css, .js, .rb, .crt, .xlsm, .xlsb, .7z, .cpp, .java, .jpe, .ini, .blob, .wps, .docm, .wav, .3gp, .gif, .log, .gz, .config, .vb, .m1v, .sln, .pst, .obj, .xlam, .djvu, .inc, .cvs, .dbf, .tbi, .wpd, .dot, .dotx, .webm, .m4v, .amv, .m4p, .svg, .ods, .bk, .vdi, .vmdk, .onepkg, .accde, .jsp, .json, .xltx, .vsdx, .uxdc, .udl, .3ds, .3fr, .3g2, .accda, .accdc, .accdw, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .arw, .ascx, .asm, .asmx, .avs, .bin, .cfm, .dbx, .dcm, .dcr, .pict, .rgbe, .dwt, .f4v, .exr, .kwm, .max, .mda, .mde, .mdf, .mdw, .mht, .mpv, .msg, .myi, .nef, .odc, .geo, .swift, .odm, .odp, .rar, .orf, .pfx, .p12, .pl, .pls, .safe, .tab, .vbs, .xlk, .xlm, .xlt, .xltm, .svgz, .slk, .tar.gz, .dmg, .ps, .psb, .tif, .rss, .key, .vob, .epsp, .dc3, .iff, .opt, .onetoc2, .nrw, .pptm, .potx, .potm,.pot, .xlw, .xps .xsd, .xsf, .xsl, .kmz, .accdr, .stm, .accdt, .ppam, .pps, .ppsm, .exe, .p7b, .wdb, .sqlite, .sqlite3, .dacpac, .zipx, .lzma, .z, .tar.xz, .pam, .r3d, .ova, .1c, .dt, .c, .vmx, .xhtml, .ckp, .db3, .dbc, .dbs, .dbt, .dbv, .frm, .mwb, .mrg, .txz, .mrg, .vbox, .wmf, .wim, .xtp2, .xsn, .xslt

所有目录中都排除以下文件：

图 5：从加密中排除的文件列表

这些目录的内容也被排除在加密之外：

图 6：从加密中排除的目录列表

SHO 使用 RSA 公钥和 Microsoft“Rijndael Managed”C# 库加密每个文件。

图 7：文件加密例程

完成加密运行后，它会用自己的壁纸替换桌面壁纸，要求受害者查找并阅读文件“readme.txt”，这是一张勒索信。

图 8：壁纸被 SHO 勒索软件替换

FortiGuard 实验室已识别出两种 SHO 勒索软件变体，它们会留下不同的勒索信息。尽管赎金票据上有属于攻击者的不同比特币地址，但赎金费用始终保持在 200 美元。

图 9：SHO 勒索软件变体投放的勒索字条

图 10：另一个 SHO 勒索软件变体投放的勒索字条

这些赎金信息的语气非常可怕和不祥，可能是为了吓唬受害者支付赎金。

在我们调查时，这两个比特币钱包均不可用。

IOCs

转载来源：https://www.fortinet.com/blog/threat-research/ransomware-roundup-retch-and-sho

图片来源网络侵权可联系删除