详细内容或原文请订阅后点击阅览
氮勒索软件的破坏力如此之大,连骗子都无法解锁您的文件
Gang 一无所获,受害者留下了无法挽回的虚拟机管理程序网络安全专家通常建议受害者不要向勒索软件骗子支付费用,但对于那些受到 Nitrogen 组织攻击的人来说,这一建议更加重要。没有办法从他们那里取回您的数据!
来源:The Register _恶意软件网络安全专家通常建议受害者不要向勒索软件骗子支付费用,但对于那些受到 Nitrogen 组织攻击的人来说,这一建议更为重要。没有办法从他们那里取回您的数据!
根据 Coveware 的说法,它在 Nitrogen 勒索软件程序的背后进行了调查,程序错误阻止了该团伙的解密器恢复受害者的文件,因此付费是徒劳的。
该发现特别涉及该组织针对 VMware ESXi 的恶意软件。 Coveware 表示,该程序使用错误的公钥加密文件,使得犯罪分子无法解密它们,即使受害者付费购买解密工具也是如此。
Nitrogen 的恶意软件会错误地将新变量 QWORD 加载到内存中,使其与公钥重叠。
由于恶意软件在偏移量 rsp+0x20 处加载公钥,并在 rsp+0x1c 处加载 8 字节 QWORD,因此它会覆盖公钥的前四个字节,这意味着攻击者提供的解密器将失败。
“通常,当生成公私 Curve25519 密钥对时,首先生成私钥,然后根据私钥导出公钥,”Coveware 说。
“所产生的损坏的公钥不是基于私钥生成的,它是通过错误地覆盖另一个公钥的几个字节而生成的。最终的结果是没有人真正知道与损坏的公钥对应的私钥。”
Nitrogen 自 2023 年以来一直存在。根据 Coveware 的说法,它最初是从泄露的 Conti 2 构建器借用代码的各种分支之一。
Barracuda Networks 此前曾报道称,随着时间的推移,它慢慢演变成一个勒索软件组织。它首先开发恶意软件以方便其他人的初始访问,尽管其运营商并未充当初始访问经纪人,但在 2024 年 9 月左右开始勒索组织。
虽然它不是运作中最多产的团体之一,但它也不容小觑。