手段不断升级!新的恶意软件Chaos兼具勒索软件和擦除器功能

这种危险的恶意软件自6月以来发展迅速，可能很快就会被释放到野外。

目前发现了一种名为Chaos的正在建设中的恶意软件，它正在地下论坛上做广告宣传可供测试。尽管它自称为勒索软件，但一项分析表明实际上更像是一个擦除器。

Chaos自6月开始存在并不断更新

根据趋势科技研究员Jesus的说法，Chaos自6月以来一直存在，并且已经循环了四个不同的版本，最后一个版本于8月5日发布。这种快速发展可能意味着它很快就会为黄金时段做好准备，但到目前为止没有用于实际攻击。

Chaos 一开始声称是Ryuk 勒索软件的 .NET 版本——它一直在使用一个诡计，在其 GUI上加上Ryuk品牌。然而，Jesus称，在其第一个版本的引擎盖下看，几乎没有发现这种所谓的痕迹。相反，该样本“更像是一种破坏性的木马，而不是传统的勒索软件” 。

他补充说：“它没有加密文件(然后可以在目标支付赎金后解密)，而是用随机字节替换文件的内容，之后文件以Base64编码。这意味着无法再恢复受影响的文件，使受害者没有动力支付赎金。”

这个版本Chaos的其他技巧

“Chaos 1.0版的一个更有趣的功能是它的蠕虫功能，这允许它传播到受影响系统上的所有驱动器，”Jesus写道。“这可能允许恶意软件跳到可移动驱动器上并逃离气隙系统。”

安装后，第一个版本的Chaos会搜索各种文件路径和扩展名以进行感染，然后释放一个名为read_it.txt 的勒索软件说明，要求 0.147 比特币，按今天的汇率计算约为 6,600美元。

同时，第二个版本增加了管理员权限的高级选项、删除所有卷影副本和备份目录的能力，以及禁用Windows 恢复模式的能力。

“然而，2.0 版本仍然覆盖了它的目标文件，” Jesus说。“发布该文件的论坛成员指出，如果无法恢复受害者的文件，他们将不会支付赎金。”

Chaos在3.0版本中变得更像勒索软件，因为添加了加密功能。据研究人员称，该样本能够使用AES/RSA加密对1 MB以下的文件，并具有解密器构建器。

然后，在八月初，论坛上出现了Chaos的第四次迭代，扩展了AES/RSA加密功能。现在，可以加密最大2MB的文件。而且根据分析，运营商可以像其他勒索软件一样，使用自己的专有扩展名附加加密文件。它还提供了更改受害者桌面壁纸的功能。

勒索软件数量持续增加

根据最近的一份报告，到2021年为止，勒索软件一直在增加。今年前六个月的全球攻击量与去年同期相比增长151% 。与此同时，联邦调查局警告说，现在全世界有100种不同的“菌株”在传播。报告发现，在野外部署最多的勒索软件是Ryuk，这可以解释Chaos 的作者试图乘机攻击的原因。

目前，Chaos“勒索软件”显然仍在建设中，因此新版本可能即将出现。例如，它缺乏几乎所有主要勒索软件家族现在都具备的数据泄露功能，无法进行双重勒索，但不确定什么时间这一疏忽会得到纠正。从本质上讲，Chaos如果落入坏人手中会很危险，如落到可以访问恶意软件分发和部署基础设施的恶意行为者手中，它可能对组织造成巨大损害。

恶意软件疯狂增长的数量警示我们，看似平静的网络空间下隐藏着巨大的危险。尤其随着数字时代的来临，数据已成为社会运转和人们便捷生活重要的基础保障。网络安全的核心问题是保护数据。提高软件自身安全性，是现有网络防护手段的重要补充，同时也是减少数据丢失的基础防线。

加强软件安全不但需要强化外部安全防御措施，同时也要关注软件自身安全。在软件开发时不断检测修复代码缺陷，是减少数据丢失的重要手段!如静态代码检测可以有效查找代码语义、语法缺陷和运行时漏洞，有助于开发人员第一时间查找定位问题代码确保软件的安全性，在研发阶段开始找到并修复多种问题，节省大量时间人力成本。Wukong(悟空)静态代码检测工具，从源码开始，为您的软件安全保驾护航!

参读链接：

https://www.woocoom.com/b021.html?1&id=7643993c3d124edb9472f71713417764

https://threatpost.com/chaos-malware-ransomware-wiper/168520/