據(jù)Bleeping Computer消息，作為一種RaaS(勒索軟件即服務(wù))，SunCrypt在2020年期間活動(dòng)猖獗，雖然在這之后有所沉寂，但根據(jù)最新發(fā)現(xiàn)，該勒索軟件目前仍不時(shí)處于活躍狀態(tài)。

SunCrypt 是早期的“三重勒索”軟件之一，包括文件加密、威脅發(fā)布被盜數(shù)據(jù)以及針對(duì)非付費(fèi)受害者的 DDoS(分布式拒絕服務(wù))攻擊。盡管如此，SunCrypt在這之后并沒(méi)有發(fā)展成為一個(gè)大型的RaaS組織，但根據(jù)Minerva Labs的一份報(bào)告，這種停滯并沒(méi)有阻止SunCrypt不斷更迭出新的版本。

在今年的版本中，SunCrypt的新功能包括終止進(jìn)程、停止服務(wù)以及擦除設(shè)備數(shù)據(jù)執(zhí)行勒索。這些功能在其它勒索軟件中已經(jīng)存在，因而就目前看來(lái)SunCrypt仍處在開(kāi)發(fā)的早期階段。

進(jìn)程終止包括資源密集型進(jìn)程，這些進(jìn)程可以阻止對(duì)打開(kāi)的數(shù)據(jù)文件進(jìn)行加密，例如寫字板(文檔)、SQLWriter(數(shù)據(jù)庫(kù))和 Outlook(電子郵件);清理功能在加密例程結(jié)束時(shí)激活，使用兩個(gè) API 調(diào)用來(lái)擦除所有日志。清除所有日志后，勒索軟件會(huì)使用 cmd.exe將自身從磁盤中刪除。最新版本中保留的一個(gè)重要的舊功能是使用I/O完成端口，通過(guò)進(jìn)程線程實(shí)現(xiàn)更快的加密。

清除事件日志的 API 調(diào)用

此外，SunCrypt繼續(xù)對(duì)本地卷和網(wǎng)絡(luò)共享進(jìn)行加密，并且仍然保持著對(duì)Windows目錄、boot.ini、dll文件、回收站和其他項(xiàng)目的允許列表。如果這些項(xiàng)目被加密，計(jì)算機(jī)將無(wú)法操作。

SunCrypt使用的最新版贖金票據(jù)

目前，SunCrypt的活動(dòng)策略可能是針對(duì)高價(jià)值實(shí)體，并且將贖金支付的談判保密，避免引起執(zhí)法部門注意和來(lái)自媒體的報(bào)道。據(jù)悉，瑞士最大的連鎖超市Migros已成為最新的受害者，該企業(yè)擁有超10萬(wàn)名員工。

綜上，SunCrypt無(wú)疑是一個(gè)尚未破解的威脅，對(duì)其發(fā)展還需要進(jìn)行密切的觀察。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-is-still-alive-and-kicking-in-2022/