网络安全供应商Sophos近日被一种名为SophosEncrypt的新型勒索软件即服务冒充，威胁分子打着这家公司的旗号实施攻击活动。

MalwareHunterTeam昨天发现了这个勒索软件，起初还以为是Sophos红队演习的一部分。

然而，Sophos X-Ops团队在推特上表示，他们并没有创建这个加密器，他们在调查其相关情况。

Sophos发推文声称：“我们早些时候在VT上发现了这个勒索软件，一直在调查。我们的初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。”

此外，ID Ransomware显示了来自被感染受害者的一份提交，表明这起勒索软件即服务活动处于活跃状态。

虽然目前对RaaS活动及推广方式知之甚少，但MalwareHunterTeam发现了一个加密器的样本，让我们可以快速了解它是如何运作的。

SophosEncrypt勒索软件

勒索软件加密器是用Rust编写的，使用C:UsersDubinin路径作为其crate。在内部，勒索软件被命名为“sophos_encrypt”，因此它被称为SophosEncrypt，检测结果已经被添加到了ID Ransomware中。

一旦执行，加密器提示勒索软件加盟组织输入与受害者相关的令牌，该令牌可能最初从勒索软件的管理面板中获取。

输入令牌后，加密器将连接到179.43.154.137:21119，并验证令牌是否有效。勒索软件专家Michael Gillespie发现，可以通过禁用网卡来绕过这道验证，从而实际上在离线状态下运行加密器。

输入有效的令牌后，加密器将提示勒索软件加盟组织在加密设备时使用额外的信息。这些信息包括联系邮箱、jabber地址和一个32个字符的密码，Gillespie称该密码作为加密算法的一部分来使用。

然后，加密器将提示加盟组织加密一个文件或加密整个设备，如下所示。

图1. 加密器在加密前提示信息（图片来源：BleepingComputer）

在加密文件时，Gillespie告诉IT外媒，它使用带PKCS# 7填充的AES256-CBC加密。

每个加密过的文件都会有已输入的令牌、已输入的电子邮件以及以.[[]].[[]].sophos这种格式添加到文件名后面的sophos扩展名。下面是测试加密中的情况。

图2. SophosEncrypt加密的文件（图片来源：BleepingComputer）

在文件被加密的每个文件夹中，勒索软件将创建一封名为information.hta的勒索函，加密完成后它可自动开启。

这封勒索函含有受害者的文件发生了什么，以及加盟组织在加密设备之前输入的联系信息。

图3. SophosEncrypt勒索函（图片来源：BleepingComputer）

勒索软件还能够改变Windows桌面壁纸，当前壁纸醒目地显示它所冒充的“Sophos”品牌。

需要澄清的是，这张壁纸是由威胁分子创建的，与正规的Sophos网络安全公司没有一点关系。

图4. SophosEncrypt壁纸（图片来源：BleepingComputer）

加密器包含许多对位于http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion的Tor网站用。

这个Tor网站不是谈判或数据泄露网站，更像是勒索软件即服务活动的加盟组织面板。

图5. 勒索软件即服务加盟组织面板（图片来源：BleepingComputer）

研究人员仍在分析SophosEncrypt，看看是否有任何漏洞可以免费恢复文件。

如果发现任何弱点或加密问题，我们会发布本文的更新内容。

在文章报道发表后，Sophos也发布了一份关于新的SophosEncrypt勒索软件的报告。

据报告显示，勒索软件团伙的指挥和控制服务器（179.43.154.137）也与之前攻击中使用的Cobalt Strike C2服务器有关。

Sophos的报告解释：“此外，两个样本都含有一个硬编码的IP地址（我们确实看到样本连接到这样一个地址）。”

“一年多来，这个地址一直与Cobalt Strike指挥和控制以及自动攻击有关，这些攻击试图用加密货币挖掘软件感染面向互联网的计算机。”

参考及来源：https://www.bleepingcomputer.com/news/security/cybersecurity-firm-sophos-impersonated-by-new-sophosencrypt-ransomware/