详细内容或原文请订阅后点击阅览
Osiris勒索软件出现,利用BYOVD技术杀死安全工具
研究人员发现了一种新的 Osiris 勒索软件,该软件在 2025 年 11 月的一次攻击中使用,通过 BYOVD 滥用 POORTRY 驱动程序来禁用安全工具。赛门铁克和 Carbon Black 研究人员发现了一种名为 Osiris 的新勒索软件病毒,该病毒在 2025 年 11 月针对东南亚一家主要食品服务特许经营商的攻击中被使用。攻击者部署了恶意驱动程序,[...]
来源:Security Affairs _恶意软件Osiris勒索软件出现,利用BYOVD技术杀死安全工具
研究人员发现了一种新的 Osiris 勒索软件,该软件在 2025 年 11 月的一次攻击中使用,通过 BYOVD 滥用 POORTRY 驱动程序来禁用安全工具。
赛门铁克和 Carbon Black 研究人员发现了一种名为 Osiris 的新勒索软件病毒,该病毒在 2025 年 11 月针对东南亚一家主要食品服务特许经营运营商的攻击中被使用。
据赛门铁克和 VMware Carbon Black 威胁追踪人员称,攻击者部署了恶意驱动程序 POORTRY,滥用 BYOVD 技术来禁用安全软件。
人们对 Osiris 的开发者以及它是否以 RaaS 的形式提供知之甚少,但有证据表明与 INC 勒索软件参与者存在联系。
“虽然这个 Osiris 勒索软件与 2016 年的勒索软件家族同名,后者是 Locky 勒索软件的变种,但没有迹象表明这两个家族之间存在任何联系。”赛门铁克和 Carbon Black 发布的报告中写道。
Osiris 似乎是一种新的勒索软件病毒,与 2016 年基于 Locky 的同名变体无关。开发人员和任何 RaaS 模型仍然未知,但博通研究人员发现了将攻击者与 INC (Warble) 勒索软件组织联系起来的迹象。
Osiris 是一款功能齐全的勒索软件,具有停止服务和进程、选择要加密的文件和文件夹以及删除勒索信息的功能。研究人员报告说,它支持多个命令行选项来定义目标、日志记录、加密模式(部分或全部)和 Hyper-V 处理。新的勒索软件系列会跳过特定文件类型和系统文件夹,向加密文件附加 .Osiris 扩展名,删除 VSS 快照,并终止数据库、备份和生产流程。该恶意软件使用混合 ECC 和 AES-128-CTR 加密,每个文件都有唯一的密钥,通过完成端口管理异步 I/O,并留下包含勒索详细信息和协商链接的 Osiris-MESSAGE.txt 勒索字条。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon