Lilith是一個(gè)由JAMESWT發(fā)現(xiàn)的基于C/C++控制臺(tái)的勒索軟件，是專門針對(duì)64位版本的Windows進(jìn)行設(shè)計(jì)。像今天推出的大多數(shù)勒索軟件一樣，Lilith會(huì)執(zhí)行雙重勒索攻擊，也就是攻擊者在加密設(shè)備之前先竊取受害者的重要數(shù)據(jù)。

根據(jù)Cyble的研究人員對(duì)Lilith的分析報(bào)告，這個(gè)新的勒索軟件并沒有引入任何新意。然而Lilith以及最近出現(xiàn)的RedAlert和0mega，仍應(yīng)該被視為新威脅，企業(yè)也應(yīng)該提高對(duì)它們的關(guān)注度。

莉莉絲的細(xì)節(jié)

執(zhí)行時(shí)，Lilith會(huì)試圖終止與硬編碼列表中的條目相匹配的進(jìn)程，包括Outlook、SQL、Thunderbird、Steam、PowerPoint、WordPad、Firefox等。

這一過程會(huì)將有價(jià)值的文件從目前可能正在使用它們的應(yīng)用程序中釋放出來，從而使這些高價(jià)值文件能夠被加密。

在加密過程啟動(dòng)之前，莉莉絲在所有列舉的文件夾中創(chuàng)建并投下贖金票據(jù)。

該說明給受害者三天時(shí)間，讓他們通過所提供的Tox聊天地址與勒索軟件行為者聯(lián)系，否則他們將受到公開數(shù)據(jù)暴露的威脅。

一個(gè)代號(hào)為“Lilith”的新勒索軟件行動(dòng)近日出現(xiàn)在網(wǎng)絡(luò)上，并展開了攻擊行動(dòng)，該勒索軟件已經(jīng)在支持雙重勒索攻擊的數(shù)據(jù)泄露網(wǎng)站上發(fā)布了受害企業(yè)的數(shù)據(jù)信息。

莉莉絲的勒索信 (Cyble)

被排除在加密之外的文件類型是EXE、DLL和SYS，同時(shí)程序文件、網(wǎng)絡(luò)瀏覽器和回收站文件夾也不會(huì)被加密。

有趣的是，Lilith還包含一個(gè) "ecdh_pub_k.bin "的排除項(xiàng)，它存儲(chǔ)了BABUK勒索病毒感染的本地公鑰。

包括BABUK密鑰的排除列表（Cyble）

這可能是復(fù)制的代碼的殘留物，所以它可能是兩個(gè)勒索軟件菌株之間的一個(gè)跡象。

最后，加密是使用Windows加密API進(jìn)行的，通過Windows的CryptGenRandom函數(shù)生成隨機(jī)密鑰。勒索軟件在加密文件時(shí)會(huì)附加了".lilith "文件擴(kuò)展名。

要注意什么？

雖然現(xiàn)在判斷Lilith是否會(huì)發(fā)展成為一個(gè)大規(guī)模的威脅或一個(gè)成功的RaaS項(xiàng)目還為時(shí)過早，但分析家們?nèi)匀粦?yīng)該密切關(guān)注它的發(fā)展進(jìn)程。

Lilith的第一個(gè)受害者是一個(gè)位于南美的大型建筑集團(tuán)，這是一個(gè)表明Lilith可能對(duì)大型企業(yè)感興趣的跡象。并且其背后的操作者已經(jīng)意識(shí)到他們需要穿越政治迷宮以避免成為執(zhí)法部門的目標(biāo)。畢竟，這些新穎的勒索軟件項(xiàng)目大多是舊程序的重塑，因此它們的操作者通常非常了解這個(gè)領(lǐng)域的復(fù)雜性。

參考來源：https://www.bleepingcomputer.com/news/security/new-lilith-ransomware-emerges-with-extortion-site-lists-first-victim/