安全研究人員最近發現了臭名昭著的火衛一勒索軟體家族的一種新變種,稱為浮士德。
火衛一於 2019 年首次出現,它對受害者計算機上的檔案進行加密,並要求以加密貨幣支付解密金鑰的贖金。
根據 Fortiguard Labs 上周四發布的乙份報告,Faust 變體是在利用 VBA 指令碼傳播勒索軟體的 Office 文件中發現的。
作為攻擊活動的一部分,攻擊者使用 GITEA 服務來儲存 base64 編碼的惡意檔案。 當注入系統記憶體時,這些檔案會發起檔案加密攻擊。
Fortiguard Labs 的分析揭示了從 VBA 指令碼執行到 Faust 有效載荷部署的多階段攻擊流程。
Bambenek Consulting 總裁 John Bambenek 解釋說:“巨集仍然是惡意軟體傳播的乙個危險部分,因為 VBA 提供了許多公司在其日常應用程式中使用的功能。 ”
處理此威脅的最安全方法是在 Office 中完全禁用 VBA。 但是,如果這不起作用,組織至少可以使用 Windows 防禦攻擊面減少功能來禁用 VBA 中的高風險功能,例如阻止辦公應用程式建立子程序或建立可執行檔案。
從技術角度來看,Faust Ransomware 演示了一種永續性機制,該機制可以新增登錄檔項並將自身複製到特定的啟動資料夾。
它檢查互斥鎖以確保只有乙個程序在執行,並且它包含乙個排除列表,以避免對特定檔案進行雙重加密或加密其贖金訊息。 加密檔案附帶。 此外,受害者被指示通過電子郵件或 TOX 訊息聯絡攻擊者,以協商贖金。
該研究強調了無檔案攻擊的威脅,以及使用者在開啟不受信任的文件檔案時需要謹慎**。
Critical Start網路威脅情報研究分析師Sarah Jones警告說:“雖然使用者意識和謹慎是網路安全的關鍵方面,但多層次的防禦方法是必要的。 個人在使用附件和鏈結時應謹慎。 僅開啟附件或單擊來自受信任**的鏈結,並警惕意外電子郵件。 ”
此外,定期更新作業系統、應用程式和韌體以修補攻擊者可能利用的漏洞也很重要。 此外,個人需要確保他們的密碼強大且唯一,並盡可能啟用雙因素身份驗證以增加額外的安全層。