当前位置：首页 > 物联网

揭开勒索软件LostTrust的神秘面纱

写在前面的揭开话

勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品，因为它们几乎使用了相同的勒索数据泄露网站和加密程序。

LostTrust勒索软件于2023年3月开始积极活动，软件并攻击了多个企业和组织，神秘但直到9月份才被广大研究人员所知晓，面纱因为在今年的揭开9月份，LostTrust勒索软件背后的勒索“始作俑者”才开始在数据泄露网站上发布相关的数据泄露信息。

到目前为止，软件该数据泄露网站泄露的神秘信息已经影响了全球范围内至少53个企业和组织，亿华云而其中的面纱部分组织因为拒绝支付数据赎金，从而导致他们的揭开数据被泄露了出来。

目前，勒索我们还不知道LostTrust勒索软件背后的软件攻击者是否只会针对Windows设备实施勒索软件攻击，同时也无法确定是神秘否使用了Linux加密程序。

真的面纱是MetaEncryptor换个名字卷土重来了吗？

MetaEncryptor勒索软件家族，从2022年8月份“浮出水面”，截止至2023年7月份，其数据泄露网站上已出现了12个受影响的模板下载企业和组织，但至此之后该网站就再也没有出现过新的受影响组织了。

就在今年的10月份，LostTrust勒索软件组织又上线了一个新的数据泄露网站，而网络安全专家Stefano Favarato通过分析后就发现，这个新上线的数据泄露网站跟MetaEncryptor当初所使用的数据泄露网站有着相同的模版和简介信息。

MetaEncryptor和LostTrust都在其数据泄露网站上的描述中写道了下列内容：

“我们是一群年轻的网络安全领域中的源码下载专家，并且拥有至少15年的从业经验。这个博客和我们的产品仅供商业用途，我们与其他任何机构或当局没有任何的关系。”

研究人员还发现，LostTrust [ VirusTotal ] 和 MetaEncryptor [ VirusTotal ] 所使用的加密程序几乎是相同的，而且只是在勒索信息、嵌入式公共密钥、勒索信息文件名称和加密文件扩展名方面进行了一些微调而已。服务器租用

除此之外，网络安全研究团队MalwareHunterTeam表示，LostTrust和MetaEncryptor都是基于SFile2勒索软件加密器实现的，而Intezer的分析和扫描也进一步证实了这一点，并发现LostTrust使用了大量的SFile加密器代码。

由于这两个程序之间存在着大量的相同之处和代码重叠，因此安全社区也普遍认为LostTrust只是MetaEncryptor勒索软件换了个名字罢了。

LostTrust 加密程序分析

我们在对LostTrust所使用的加密程序样本进行分析之后，发现了下列内容。建站模板

攻击者可以使用两个可选的命令行参数来启动加密程序，即--onlypath（加密一个指定路径）和 --enable-shares（加密网络共享）。

启动之后，加密程序会打开一个控制台终端，并显示当前的加密过程和状态：

请大家注意上图加密程序中的“METAENCRYPTING”字符串，这也表明它就是修改后的MetaEncryptor加密程序。

在执行过程中，LostTrust 将禁用并停止大量的Windows 服务，以确保所有文件都可以加密，包括任何包含 Firebird 、高防服务器MSSQL、SQL、Exchange、wsbex、postgresql、BACKP 、tomcat 、SBS 和 SharePoint 字符串的服务。除此之外，加密程序还将禁用和停止与 Microsoft Exchange 相关的其他服务。

在加密文件时，加密程序还会将.losttrustencoded 扩展名附加到加密文件的名称中：