据Bleeping Computer作为一种新闻RaaS(勒索软件即服务),SunCrypt2020年活动猖獗,虽然此后沉默,但根据最新发现,勒索软件仍不时活跃。
SunCrypt 是早期的三重勒索软件之一,包括文件加密、威胁盗窃数据和非付费受害者 DDoS(分布式拒绝服务)攻击。尽管如此,SunCrypt之后,它还没有发展成为一个大型的RaaS组织,但根据Minerva Labs这种停滞并没有阻止的报告SunCrypt新版本不断版本。
在今年的版本中,SunCrypt新功能包括终止过程、停止服务和擦除设备数据进行勒索。这些功能已经存在于其他勒索软件中,所以目前SunCrypt还处于发展的早期阶段。
流程终止包括资源密集型流程,可以防止打开的数据文件,如写字板(文档)、SQLWriter(数据库)和 Outlook(电子邮件);加密例程结束时激活清洁功能,使用两个 API 用于擦除所有日志。清除所有日志后,使用 勒索软件cmd.exe从磁盘中删除自己。最新版本中保留的一个重要的旧功能是使用它I/O完成端口,通过进程线程更快地加密。
清除事件日志API 调用
此外,SunCrypt继续加密本地卷和网络共享,并保持Windows目录、boot.ini、dll允许列表文件、回收站等项目。如果这些项目被加密,计算机将无法操作。
SunCrypt最新版本的赎金票据
目前,SunCrypt该活动策略可能针对高价值实体,并对赎金支付的谈判保密,以避免引起执法部门的注意和媒体的报道。瑞士最大的连锁超市Migros该公司拥有10多万员工,已成为最新的受害者。
综上,SunCrypt这无疑是一个尚未解决的威胁,需要密切观察它的发展。
参考来源:https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-is-still-alive-and-kicking-in-2022/