首次发现勒索软件使用“过程复制”攻击来逃避检测

加工双齿轮，一种新的无文件代码注入技术，可以帮助恶意软件逃避检测。

Process Doppelgänging攻击通过使用NTFS事务启动恶意进程，替换合法进程的内存，欺骗进程监视工具和防病毒软件，使其相信合法进程正在运行。
如果您想更详细地了解Process Doppelgäinging攻击是如何工作的，您应该阅读我去年年底发表的这篇文章。

在Doppelgäking攻击细节公布后不久，发现几名威胁行为人滥用该程序，试图绕过现代安全解决方案。

卡巴斯基实验室（Kaspersky Lab）的安全研究人员现在发现了第一个勒索软件，它是SynAck的一个新变种，利用这种技术来规避其恶意行为，并以美国、科威特、德国和伊朗的用户为目标。
SynAck勒索软件最初发现于2017年9月，它使用复杂的模糊技术来防止逆向工程，但研究人员设法将其解包，并在一篇博客文章中分享了他们的分析。

SynAck的一个有趣之处是，这种勒索软件不会感染来自特定国家的人，包括俄罗斯、白俄罗斯、乌克兰、格鲁吉亚、塔吉克斯坦、哈萨克斯坦和乌兹别克斯坦。

为了识别特定用户的国家，SynAck ransomware将用户电脑上安装的键盘布局与恶意软件中存储的硬编码列表进行匹配。如果找到匹配项，勒索软件将休眠30秒，然后调用ExitProcess以防止文件加密。
SynAck勒索软件还通过检查执行目录来防止自动沙盒分析。如果发现有人试图从“不正确”的目录启动恶意可执行文件，SynAck将不再继续，而是自行终止。

一旦被感染，就像任何其他勒索软件一样，SynAck会使用AES-256-ECB算法对每个被感染文件的内容进行加密，并向受害者提供解密密钥，直到他们联系到攻击者并满足他们的要求。
SynAck还可以通过修改注册表中的LegalNoticeOptions和LegalNoticeText键，在Windows登录屏幕上显示勒索软件注释。勒索软件甚至会清除系统存储的事件日志，以避免对受感染机器进行法医分析。

尽管研究人员没有说明SynAck是如何登陆PC的，但大多数勒索软件都是通过钓鱼电子邮件、网站上的恶意广告以及第三方应用和程序传播的。

因此，在打开通过电子邮件发送的未经邀请的文档并单击这些文档中的链接时，应始终保持谨慎，除非为了防止此类勒索软件感染而验证其来源。

虽然在这种情况下，只有少数安全和防病毒软件可以保护或提醒您免受威胁，但在您的系统上安装有效的防病毒安全套件并使其保持最新状态始终是一种良好的做法。

最后但并非最不重要的一点：要牢牢掌握有价值的数据，一定要有一个备份例程，将所有重要文件复制到一个并不总是连接到电脑的外部存储设备上。