FunkSec ransomware
Hybrid Analysis részletesen elemzi a FunkSec nevű, Rust programozási nyelven írt zsarolóvírust, amely állítólag mesterséges intelligenciát alkalmaz a fejlesztésében.
A FunkSec fejlesztői azt állítják, hogy a zsarolóvírus fejlesztéséhez mesterséges intelligenciát használtak, ami új megközelítést jelent a rosszindulatú szoftverek terén. A zsarolóvírus agresszív védekezési technikákat alkalmaz, beleértve a virtuális gép (VM) detektálását és a folyamatok leállítását, amelyek hatékonyan megakadályozzák a felhasználói hozzáférést. A FunkSec azonnal letiltja a Windows biztonsági funkcióit és a naplózási képességeket, minimalizálva a felfedezés esélyét. A zsarolóvírus tartós jelenlétet biztosít ütemezett feladatok létrehozásával, és az XChaCha20 titkosítási algoritmust alkalmazza a fájlok titkosításához. A titkosítási folyamat egy adott háttérkép letöltésétől függ az imgur.com-ról, ami a megvalósítás hiányosságára utal.
A zsarolóvírus a wevtutil parancs segítségével letiltja a biztonsági és alkalmazási eseménynaplózást. A valós idejű védelem letiltása PowerShell parancsokkal történik. A zsarolóvírus ellenőrzi, hogy futnak-e olyan folyamatok, mint a vmware, és ellenőrzi a felhasználói jogosultságokat a net session parancs segítségével. A zsarolóvírus az A:-tól Z:-ig terjedő meghajtókat keresi, és önmagát lemásolja az elérhető meghajtókra, függetlenül azok típusától. A zsarolóvírus megkísérli a csatlakozást helyi IP-címekhez a 4444-es porton, ami arra utalhat, hogy a fejlesztés még folyamatban van.
A FunkSec zsarolóvírus egy érdekes keveréke a fejlett képességeknek és a fejlesztési hiányosságoknak. Bár alkalmazza az XChaCha20 titkosítási algoritmust és átfogó anti-VM technikákat, a végrehajtása több technikai anomáliát is mutat.Például a titkosítási folyamat függ egy adott háttérkép letöltésétől, és a viszonylag alacsony, 0,1 BTC összegű váltságdíj is arra utal, hogy a zsarolóvírus még fejlesztés alatt áll, és további evolúcióra számíthatunk.
