北京
网络安全专家通常建议勒索软件受害者不要向犯罪分子付款,但对于遭受Nitrogen组织攻击的受害者来说,这一建议更加重要。因为即使付款也无法找回数据!
根据安全公司Coveware对Nitrogen勒索软件程序的深入分析,一个编程错误使得该团伙的解密程序无法恢复受害者的文件,因此付费赎金完全没有意义。
这一发现特别涉及该组织针对VMware ESXi的恶意软件。Coveware表示,该程序使用错误的公钥加密文件,即使受害者为解密工具付费,犯罪分子也无法解密这些文件。
技术细节与错误分析
Nitrogen的恶意软件在将新变量(一个QWORD)加载到内存时出现错误,导致其与公钥重叠。
由于恶意软件在偏移量rsp+0x20处加载公钥,而在rsp+0x1c处加载8字节的QWORD,这会覆盖公钥的前四个字节,意味着攻击者提供的解密程序将失效。
Coveware解释说:"通常情况下,当生成公钥-私钥Curve25519密钥对时,会先生成私钥,然后基于私钥派生公钥。但由于错误覆盖了几个字节,最终生成的损坏公钥并非基于私钥生成,而是错误覆盖另一个公钥的结果。最终结果是,没有人知道与损坏公钥对应的私钥。"
Nitrogen组织背景
Nitrogen组织自2023年开始活跃。据Coveware称,它最初是借用泄露的Conti 2构建器代码的各种分支之一。
Barracuda Networks此前报告称,该组织经过长时间演化才成为勒索软件组织。它最初开发恶意软件为其他人提供初始访问权限,虽然其操作者并非作为初始访问代理工作,但在2024年9月前后开始勒索组织。
虽然它不是最活跃的勒索软件组织之一,但也不容小觑。
即使有了这一最新发现,这将与其他勒索软件团伙的史诗级失误一起被记录,但很难从中看到有趣的一面。
这个编程错误使这个以经济利益为动机的勒索软件团伙进入了纯粹破坏的领域,双方都成为失败者。
Q&A
Q1:Nitrogen勒索软件为什么无法解密受害者文件?
A:Nitrogen勒索软件存在编程错误,在加载新变量时会覆盖公钥的前四个字节,导致生成损坏的公钥。由于没有人知道与损坏公钥对应的私钥,即使犯罪分子自己也无法解密文件。
Q2:Nitrogen组织是什么时候开始活跃的?
A:Nitrogen组织自2023年开始活跃,最初是借用泄露的Conti 2构建器代码的分支之一。它在2024年9月前后开始进行勒索活动,之前主要为其他人提供初始访问权限。
Q3:遭遇Nitrogen勒索软件攻击应该付赎金吗?
A:绝对不应该付赎金。由于Nitrogen勒索软件存在严重的编程错误,即使向犯罪分子付费也无法恢复被加密的文件,付费完全没有意义。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
