佳明缴纳千万赎金，勒索软件WastedLocker又拿下一血 – 作者:信息安全的那些事儿

本文主要角色如下：

WastedLocker：勒索软件，以勒索比特币为目标。

Evil Corp，据说是来自俄罗斯的犯罪团伙。

BleepingComputer，恶意软件研究技术机构。

Garmin，佳明公司，横跨航空、航海、车用、户外运动与智能穿戴五大领域。

Emsisoft，奥地利的知名的病毒安全公司。

NCC Group，全球知名安全审计公司。

一、WastedLocker勒索软件席卷美国

据网络安全公司赛门铁克（symantec）在6月底的公告称，臭名昭著的恶意软件组织“Evil Corp”，在全球部署勒索软件WastedLocker。WastedLocker的攻击方式是渗透提权后，对受害者计算机和服务器的重要数据进行加密，进而削弱受害者的IT基础架构，破坏受害者网络的安全性，从而勒索数百万至数千万美元的赎金。目前Evil Corp已经针对31家美国公司和财富500强公司实施了攻击，但这些公司均称已经及时收到警报并阻止了该勒索软件的破坏活动。

WastedLocker是一种相对较新的定向勒索软件，在此之前，俄罗斯公民Maksim V. Yakubets和Igor Turashev被美国指控为Evil Corp成员，部署了Dridex木马和BitPaymer勒索软件，参与了国际银行欺诈和计算机黑客计划。

二、佳明缴纳赎金，公司日常运行恢复正常

7月23日，WastedLocker成功渗透全球智能手表和可穿戴设备制造商佳明（Garmin），而后该公司关闭了几项服务，其中包含Garmin Connect服务，该服务用于同步跑步和骑自行车的数据。这次事件还影响了公司的客服中心，使公司无法向用户提供服务。

据BleepingComputer报道称，为了获得能让公司正常运转的解密密钥，Garmin必须向攻击者支付赎金。Garmin的一名员工透露，最初的赎金要求是1000万美元。

7月27日，Garmin在缴纳未公开数额的赎金后，收到了恢复数据包，而后其计算机网络逐步开始运行。

解压这个WastedLocker的恢复数据包，里面包含几种安全软件安装程序、一个解密密钥，一个WastedLocker解密器，还有一个运行它们的脚本文件。值得注意的是，这几个安全软件安装程序，包含网络安全公司Emsisoft和勒索软件谈判服务公司 Coveware的产品。这是公开挑衅还是对手产品推广，就不得而知了。对此，两家公司均保持沉默。

三、Emsisoft破解WastedLocker，完美补刀佳明

Emsisoft，奥地利防病毒厂商，曾经多次发布勒索软件的解密程序。如STOP勒索软件，曾被列为2019年第二季度和第三季度最大的勒索软件。2019年Emsisoft发布的STOP解密程序，可以 160 个变体中的 148 个，算是很厉害了。据统计，有超过 116000 名已确认的受害者，约 460000 名受害者从解密实用程序中受益。

当Garmin支付赎金，公开了WastedLocker的恢复数据包后，Emsisoft公司第一时间展开研究，声称已经能够开发自定义勒索软件的解密器。并在官网向Garmin表示，如果对攻击者提供的解密器速度不满意，Emsisoft公司可以提供更优质的解密服务，解密速度提升约50%，还会大大降低数据损坏或丢失的风险。可怜的Garmin，受伤后还被补了一刀。Emsisoft，你确定和WastedLocker没有关系么？

来源：freebuf.com 2020-08-04 15:33:31 by: 信息安全的那些事儿