来自Recorded Future公司的研究人员披露称最新发现一款Hidden Tear勒索软件变体Karmen,它正在在暗网以勒索软件即服务方式出售,价格仅售175美元。
Karmen勒索软件暗网出售
Karmen活跃于2016年12月份左右,当时出现在德国和美国的安全事件中。不过直到3月份它才在暗网论坛广告中现身。研究人员分析后认为Karmen衍生自开源勒索软件Hidden Tear,使用的是AES-256加密协议,加密目标是本地机器上的目标文件。
跟其它勒索软件一样,Karmen会留下指令和勒索信息让受害者支付一笔钱来获取解密密钥。但它的不同之处在于,如果检测到沙箱环境或分析软件,它会自动删除解码器。
准犯罪分子们购买Karmen时,可选择更改控制面板的多种设置,这样无需掌握现金的技术知识就可以运营。犯罪分子还能够通过“Clients”页面追踪受感染系统。仪表盘提供的信息有受感染机器数量、收入、以及恶意软件的更新日期。
浅析Karmen勒索软件
Karmen是一款多线程、多语言的勒索软件,它支持.NET 4.0和管理面板的更新版本和功能。它能够加密所有的磁盘和文件、自动删除加载器、能够检测到沙箱、调试器和虚拟机。Karmen还能在收到勒索金之后自我删除,而如果发现了分析设置则会删除解码器。Karmen以两种版本出售即轻便版和完整版。轻便版仅包含混淆器和自动加载器,而完整版还具有反分析检测功能。虽然依赖的是.NET,但Karmen也要求PHP5.6和MySQL。0day
文章评论