DevicData
勒索病毒家族 DevicData 的最新变种,命名为 .DevicData-P-a2a9e9cb 勒索病毒。自2023年1月首次被发现以来,DevicData 家族一直对多个高价值目标展开攻击,包括企业用户、医疗机构和教育机构。这些目标通常持有大量敏感数据,这正是DevicData 选择它们进行攻击的主要原因。随着不断的更新和演进,DevicData 勒索病毒逐渐成为攻击这些特定目标的首选工具。

首次出现时间:
2023-1-15
攻击方法:
DevicData 勒索病毒以 RSA 和 AES 加密算法相结合的方式进行数据加密。此组合极大地提升了加密速度,使得病毒在特定硬件环境下能够以每小时 500GB 至 1000GB 的速度加密数据。此外,DevicData 采用全字节加密方式,对文件进行全面加密处理,极具破坏性,几乎难以恢复。一旦感染成功,几乎所有的文件将无法打开、访问,除非支付赎金以获取解密工具。
传播方式
1.利用安全漏洞传播
攻击者利用弱口令、远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索病毒。目前,攻击者通常利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并部署勒索病毒,实施勒索行为。
2.利用钓鱼邮件传播
攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件附件,或点击恶意链接,勒索病毒将自动加载、安装和运行,实现实施勒索病毒攻击的目的。
3.利用网站挂马传播
攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
4.利用移动介质传播
攻击者通过隐藏U盘、移动硬盘等移动介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式,一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索病毒攻击行为。
5.利用软件供应链传播
攻击者利用软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络安全防护机制,传播勒索病毒。
6.利用远程桌面入侵传播
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
勒索地址:
常用邮箱:Devicdata@tuta.com 备用邮箱:Devicdata@onionmail.org
加密算法:
RSA 和 AES
加密钱包:
暂未查询
受害者勒索金额:
暂未查询
谈判记录:
暂未查询
近期攻击案例:
暂未查询
变种演化:
暂未查询
IOC 信息
种类 | 详情 | 日期 |
---|---|---|
md5 | b60217eafbc65dd679bee84f14806d28 | 2024/8/23 |
SHA1 | 3f7447e122204b36f65b0f87586ab0083be8809b | 2024/8/23 |
SHA256 | 79a0a6b7760be083c17e496d3a9dc6f7a113c9d8034fed1afe1e2cac2e82363d | 2024/8/23 |