You are Here
Νέο ransomware Lilith εμφανίζεται με ιστότοπο εκβιασμού, απαριθμεί το πρώτο θύμα
Aσφάλεια Cyperattacks Microsoft Ransomware Windows

Νέο ransomware Lilith εμφανίζεται με ιστότοπο εκβιασμού, απαριθμεί το πρώτο θύμα

1 min read

Μια νέα λειτουργία ransomware έχει ξεκινήσει με το όνομα «Lilith» και έχει ήδη δημοσιεύσει το πρώτο του θύμα σε έναν ιστότοπο διαρροής δεδομένων που δημιουργήθηκε για την υποστήριξη επιθέσεων διπλού εκβιασμού.

Το Lilith είναι ένα ransomware που βασίζεται σε κονσόλα C/C++ που ανακαλύφθηκε από την JAMESWT και σχεδιάστηκε για εκδόσεις 64-bit των Windows. Όπως οι περισσότερες λειτουργίες ransomware που ξεκινούν σήμερα, η Lilith εκτελεί επιθέσεις διπλού εκβιασμού, δηλαδή όταν οι φορείς απειλών κλέβουν δεδομένα πριν κρυπτογραφήσουν συσκευές.

Σύμφωνα με μια έκθεση ερευνητών της Cyble που ανέλυσαν τη Lilith, η νέα οικογένεια δεν εισάγει καμία καινοτομία. Ωστόσο, είναι μια από τις τελευταίες απειλές που πρέπει να προσέξετε, μαζί με το RedAlert και 0mega που επίσης εμφανίστηκαν πρόσφατα.

Μια ματιά στο Lilith

Κατά την εκτέλεση, η Lilith προσπαθεί να τερματίσει διεργασίες που αντιστοιχούν σε καταχωρίσεις σε μια λίστα με σκληρό κώδικα, συμπεριλαμβανομένων των Outlook, SQL, Thunderbird, Steam, PowerPoint, WordPad, Firefox και άλλων.

Αυτό ελευθερώνει πολύτιμα αρχεία από εφαρμογές που μπορεί να τα χρησιμοποιούν αυτήν τη στιγμή, καθιστώντας τα έτσι διαθέσιμα για κρυπτογράφηση.

Πριν ξεκινήσει η διαδικασία κρυπτογράφησης, η Lilith δημιουργεί και ρίχνει σημειώσεις λύτρων σε όλους τους φακέλους που απαριθμούνται.

Το σημείωμα δίνει στα θύματα τρεις ημέρες για να επικοινωνήσουν με τους παράγοντες του ransomware στην παρεχόμενη διεύθυνση συνομιλίας Tox, διαφορετικά απειλούνται με έκθεση σε δημόσια δεδομένα.

Lilith's ransom note

Το σημείωμα για τα λύτρα της Λίλιθ (Cyble)

Οι τύποι αρχείων που εξαιρούνται από την κρυπτογράφηση είναι EXE, DLL και SYS, ενώ παρακάμπτονται επίσης τα αρχεία προγράμματος, τα προγράμματα περιήγησης ιστού και οι φάκελοι του Κάδου Ανακύκλωσης.

Είναι ενδιαφέρον ότι το Lilith περιέχει επίσης μια εξαίρεση για το ‘ecdh_pub_k.bin,‘ που αποθηκεύει το τοπικό δημόσιο κλειδί των μολύνσεων ransomware BABUK. 

Exclusion list

Λίστα εξαιρέσεων συμπεριλαμβανομένου του κλειδιού BABUK (Cyble)

Αυτό μπορεί να είναι ένα υπόλειμμα από αντιγραμμένο κώδικα, επομένως θα μπορούσε να αποτελεί ένδειξη σύνδεσης μεταξύ των δύο στελεχών ransomware.

Τέλος, η κρυπτογράφηση πραγματοποιείται χρησιμοποιώντας το κρυπτογραφικό API των Windows, ενώ η συνάρτηση CryptGenRandom των Windows δημιουργεί το τυχαίο κλειδί.

Share
Facebook Twitter Pinterest Linkedin

Related Posts

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *