黄金国：企业的新数字噩梦

16家公司成为加密器的受害者，加入了网络犯罪分子的行列。

3月份，网络空间出现了一种新的勒索软件Eldorado，专门针对VMware ESXi和Windows进行攻击。自成立以来，Eldorado 组织已袭击了 16 名受害者，其中大多数位于美国，从事房地产、教育、医疗保健和制造业。

Group-IB积极监控Eldorado的活动，注意到运营商正在RAMP论坛上推广他们的服务，试图吸引合格的合作伙伴参与该计划。该组织还维护着一个存在数据泄露的网站，尽管在撰写本文时该网站尚不可用。

组-IB 主动监控

Eldorado 是一种 Go 勒索软件，可以使用两种具有许多相似之处的不同变体来加密 Windows 和 Linux 平台。专家从开发人员那里收到了加密器，并附有用户手册，其中表明 32/64 位版本可用于 VMware ESXi 和 Windows 虚拟机管理程序。

Eldorado 使用 ChaCha20 算法进行加密，并为每个锁定文件生成唯一的 32 字节密钥和 12 字节加密随机数。然后使用 RSA 和最佳非对称加密方案 (OAEP) 对密钥和随机数进行加密。加密后，文件的扩展名为“.00000001”，名为“HOW_RETURN_YOUR_DATA.TXT”的勒索字条出现在“文档”和“桌面”文件夹中。

加密随机数 OAEP

埃尔多拉多赎金字条

埃尔多拉多勒索信

Eldorado 还使用 SMB 协议对网络共享进行加密，以最大程度地造成损害，并删除受感染 Windows 计算机上卷的卷影副本以防止恢复。在这种情况下，恶意软件会跳过DLL、LNK、SYS和EXE文件，以及与系统启动和基本功能相关的文件和目录，以免导致系统无法运行。

为了防止攻击，专家建议：