Proton勒索病毒家族最新变种Zola分析

关键要点

Proton勒索病毒自2023年3月首次出现以来，经过多次变种更新，其中最新的Zola变种包含特权提升、磁盘覆盖和基于键盘语言的杀死开关功能。Acronis Threat Research Unit在一次事件响应中遇到了Zola变种，并进行了深入分析，释放了详尽的报告。Zola在执行期间创建一个互斥体，确保不会有并发执行的情况发生。Zola变种删除了影子副本，并以ChaCha20加密文件，虽然赎金说明仍宣称使用AES和ECC，但这些信息是误导性的。

Zola发起攻击的方式

Zola变种是Acronis在5月首次发现的，与同一Proton家族的另一个变种Ripa于4月30日出现具有相似之处。

研究人员注意到，Proton家族在勒索病毒活动中使用了常见的黑客工具，如Mimikatz、ProcessHacker，以及各种用来禁用Windows Defender的工具。恶意软件通常会将这些工具放置在目标机器的下载、音乐或3D对象目录中。

此外，Zola和其前身的另一个相似之处是执行后创建一个互斥体，以避免并发执行 这个硬编码的互斥体在不同变种间保持不变。

Zola和其他最近变种的一项独特特征是它包含一个杀死开关，可以检查是否存在波斯语键盘布局，并且在检测到这种布局时停止进程。

“这个杀死开关可能与Proton家族的起源有关，但未能找到更多证据来强化这一假设，”研究人员写道。

旋风加速免费安装官网

如果杀死开关未被触发，恶意软件将进行管理员权限检查，并在检测失败时反复提示用户以管理员身份运行可执行文件。

这种管理员检查功能在最初的Proton样本中也存在，不过在4月初观察到的一个子家族Shinra中缺乏此功能，这表明Zola可能代表Proton发展的一个独立分支。

在对文件进行加密之前，Zola还会做额外的准备工作，包括生成唯一受害者ID和密钥信息、清空回收站、修改启动配置，并删除影子副本以防止恢复。

影子副本通过ShellExecute API使用vssadmin命令删除，BCDEdit Windows工具用于禁用自动修复，强制Windows忽略启动过程中的所有故障。

Proton勒索病毒更改加密方案

原始的Proton勒索病毒使用椭圆曲线加密ECC以及高级加密标准AES中的伽罗瓦/计数模式GCM来加密文件，但在2023年9月份的一次更新中切换到ChaCha20加密方案，Zola变种也采用相同的加密方法。

然而，Zola的赎金说明与原始Proton赎金说明基本保持不变，除了联系方式的变化之外，仍然声称使用AES和ECC，这在某种程度上对受害者造成误导。

在进行加密之前，恶意软件会尝试结束在其二进制文件中列出的137个进程和79个服务，包括各种安全软件和其他可能由于锁定多个文件而妨碍加密的应用程序。

Zola运行多个加密线程对文件进行加密，包括对具有写入权限的网络附加驱动器中的文件，并在每个加密文件夹下生成赎金说明。同时，恶意软件还会更改桌面壁纸，显示一条消息，指示受害者电子邮件联系威胁行为者，以及受害者的唯一ID。

Zola还保留了自2024年4月早期Proton变种中出现的一项功能，它会在C下生成一个临时文件，通过持续写入未初始化的数据每次500 KB来填满磁盘。怀疑这种覆盖磁盘上的松散空间是为了使数字取证和数据恢复更加困难。

切勿与PrOToN/Xorist勒索病毒混淆

尽管Proton勒索病毒家族产生了多个变种及至少一个子家族，但它与名为PrOToN的勒索病毒并不相同，PrOToN是Xorist，或称EnCiPh