抓取勒索软件以安全模式重新启动Windows以绕过杀毒软件

网络安全研究人员发现了抓取勒索软件的一个新变种，它首先将受感染的Windows计算机重新启动到安全模式，然后才对受害者的文件进行加密，以避免被防病毒检测。

与传统恶意软件不同，新的抓取勒索软件选择在安全模式下运行，因为在诊断模式下，Windows操作系统只启动一组最小的驱动程序和服务，而不加载大多数第三方启动程序，包括防病毒软件。

至少从2018年夏天开始，SNACK就一直很活跃，但SophosLabs的研究人员仅在最近针对他们调查的各种实体的网络攻击中发现了这种勒索软件的安全模式增强。

“SophosLabs的研究人员一直在调查一系列正在进行的勒索软件攻击，其中勒索软件可执行文件迫使Windows机器在开始加密过程之前重新启动到安全模式，”研究人员说。

“勒索软件自称为抓取，它将自己设置为一项服务（在Windows注册表的帮助下称为SuperBackupMan），将在安全模式引导期间运行。”

“当计算机在重新启动后恢复时，这一次是在安全模式下，恶意软件使用Windows组件net.exe停止SuperBackupMan服务，然后使用Windows组件vssadmin.exe删除系统上的所有卷影副本，从而阻止对勒索软件加密的文件进行取证恢复。”

抓取与其他人不同且危险的地方在于，除了勒索软件，它还是一个数据窃取者。抓取包括一个复杂的数据窃取模块，允许攻击者从目标组织窃取大量信息。

尽管Scratch是用Go编写的，Go是一种以跨平台应用程序开发而闻名的编程语言，但作者设计的这款勒索软件只能在Windows平台上运行。

研究人员说：“抓取可以在最常见的Windows版本上运行，从7到10，有32位和64位版本。我们看到的样本还带有开源打包器UPX，以混淆其内容。”。

除此之外，抓取勒索软件背后的攻击者还为其他网络犯罪分子和流氓员工提供合作机会，他们拥有进入大型组织的凭据和后门，可以利用它部署勒索软件。

如从一个地下论坛截图所示，其中一个小组成员发布了一个报价“寻找能够在企业网络、商店和其他公司访问RDP\VNC\TeamViewer\WebShell\SQL注入的附属合作伙伴”

攻击者使用暴力强迫或窃取的凭据，首先获得对公司内部网络的访问权，然后运行多个合法的系统管理员和渗透测试工具，在不发出任何危险信号的情况下危害同一网络中的设备。

研究人员说：“我们还发现了一系列安装在目标网络内机器上的犯罪分子使用的合法工具，包括Process Hacker、IObit卸载程序、PowerTool和PsExec。攻击者通常使用这些工具试图禁用AV产品”。

Coveware是一家专门从事攻击者和勒索软件受害者之间勒索谈判的公司，该公司告诉Sophos，他们“在2019年7月至10月期间代表客户”与抢夺罪犯进行了12次谈判，支付的赎金在2000美元至35000美元比特币之间。

为了防止勒索软件攻击，建议组织不要将其关键服务和安全端口暴露于公共互联网，如果需要，请使用带有多因素身份验证的强密码对其进行安全保护。