【安全圈】新型Yurei勒索病毒分析报告:基于PowerShell与ChaCha20算法的双重威胁

B站影视 韩国电影 2025-09-16 20:03 1

摘要:2025年9月初,一种名为Yurei的新型勒索病毒崭露头角,其独特的Go语言实现与ChaCha20加密算法迅速引起了安全研究人员的注意。9月5日,斯里兰卡一家食品制造商成为首个公开记录的受害者,攻击者在实施文件加密的同时,还采取双重勒索策略(Double Ex

勒索软件

背景概述

2025年9月初,一种名为Yurei的新型勒索病毒崭露头角,其独特的Go语言实现与ChaCha20加密算法迅速引起了安全研究人员的注意。9月5日,斯里兰卡一家食品制造商成为首个公开记录的受害者,攻击者在实施文件加密的同时,还采取双重勒索策略(Double Extortion),即窃取敏感数据以进一步施压。随后数日内,印度与尼日利亚的两家机构也相继受害,凸显了该病毒的快速传播能力。

技术溯源与攻击手法

与多数依赖定制化工具的高级黑客组织不同,Yurei的代码库可追溯至开源项目Prince-Ransomware,这一线索引发了关于攻击者技术水平与资源储备的疑问。该病毒的核心机制如下:

并行化文件遍历:
利用Go语言的并发特性,同时扫描所有驱动器及网络共享文件。

动态加密设计:
每个文件均生成独立的随机ChaCha20密钥与Nonce(一次性随机数),再通过ECIES(椭圆曲线集成加密方案)使用攻击者公钥进行二次加密,最终将密文、密钥及Nonce以分隔符||拼接存储(示例见技术代码片段)。

遗留调试信息:
Yurei未剥离二进制文件中的符号表,保留了诸如Yurei_encryption_generateKey等函数名称,这一疏漏极大简化了逆向工程分析流程。然而,其采用Go语言编译的特性仍对依赖传统特征检测的杀毒软件构成挑战。

攻击链中的薄弱环节

尽管Yurei展现了高效的加密能力,但其操作中存在多处技术缺陷:

壁纸设置失败:
病毒尝试通过PowerShell下载并强制更换受害者桌面壁纸,但因无效URL导致命令执行失败(仅显示空白背景)。相关代码与Prince-Ransomware高度重合,侧面反映了攻击者的“低成本”改造策略。

未清除卷影副本(VSS):
这一致命失误使得启用VSS的组织能够通过卷影恢复解密文件,但需注意外泄数据仍存在风险。

防御建议与行业警示

Yurei的快速蔓延揭示了当前勒索攻击的“低技术高收益”趋势。安全团队应采取以下措施:

流量监控

:严格管控出站流量,阻断数据外泄路径。

扩展名检测备份验证

:定期测试VSS快照及离线备份的可恢复性。

结语

Yurei勒索病毒凭借开源工具的“拿来主义”与加密算法的有效性,短期内已对多国企业造成实质性威胁。其技术实现虽存在粗糙之处,但足以警示行业:防御壁垒的薄弱环节往往被攻击者以最低成本突破。持续强化终端防护、数据隔离及应急响应能力,仍是应对此类威胁的关键。

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧!

来源:我就是科技家

相关推荐