网络安全专家揭开破坏性Azov勒索软件的内部工作

网络安全研究人员发表了一种名为亚速尔勒索软件这是故意设计的，目的是破坏数据并对受损系统“造成无可挑剔的损害”。

该恶意软件通过另一个名为SmokeLoader的恶意软件加载程序分发，被以色列网络安全公司Check Point描述为“有效、快速、不幸的不可恢复的数据清理器”。其起源尚未确定。

擦拭器例程被设置为用随机噪声交替覆盖666字节块中的文件内容，这种技术被称为间歇性加密，勒索软件运营商越来越多地利用这种技术来逃避检测并更快地加密受害者的文件。

威胁研究人员JiíVinopal说：“Azov与你的花园勒索软件不同的一点是，它修改了某些64位可执行文件，以执行自己的代码”。“可执行文件的修改是使用多态代码完成的，这样就不会被静态签名所阻碍”。

Azov Ransomware还集成了一个逻辑炸弹；在激活恶意操作之前应满足的一组条件；以在预定时间触发擦拭和后门功能的执行。

Vinopal补充道：“虽然Azov样本在第一次遇到时被认为是Skidware[…]，但当进一步研究时，我们发现了非常先进的技术&手工制作的组装，将有效载荷注入到可执行文件中以便后门，以及通常为安全教科书或知名品牌网络犯罪工具保留的一些反分析技巧”。

自今年年初以来，雨刮器遭到了大量破坏性袭击，而这一事态发展正是在这种情况下发生的。这包括WhisperGate、HermeticWiper、AcidRain、IsaacWiper、CaddyWiper、Industrier2、DoubleZero、RURansom和CryWiper。

上周，安全公司ESET披露了另一款此前未被发现的名为Fantasy的雨刷，该雨刷通过针对以色列软件公司的供应链攻击传播，以钻石行业的客户为目标。该恶意软件与一个名叫阿格里乌斯的威胁行为者有关。