曾冒充Sophos进行非法活动，又一新型勒索软件曝光！-创站实验室

近日，曾冒市面上出现了一款名为SophosEncrypt的行非新型新型勒索软件，该软件与网络安全厂商Sophos同名，法活因此有一些威胁行为者专门冒用该公司名称进行一些非法行动。动又

MalwareHunterTeam在本周一（7月17日）首次发现了这款勒索软件，勒索起初还以为它是软件 Sophos 红队演习的一部分。

但很快Sophos X-Ops团队就在推特上表明，曝光他们并没有创建该加密程序，曾冒且正在对此次事件进行调查。行非新型

Sophos X-Ops团队表示，法活他们早些时候在VT上发现了这个勒索软件并且一直在调查。动又但据初步调查结果显示，勒索Sophos InterceptX可以抵御这些勒索软件样本。软件

此外，服务器租用曝光ID勒索软件显示了一份受害者提交的曾冒报告，表明此勒索软件目前仍处于活动状态。虽然对RaaS操作及其推广方式知之甚少，但MalwareHunterTeam还是发现了一个加密器的样本。

SophosEncrypt 勒索软件

据悉，该勒索软件的加密程序是用 Rust 编写的，并使用了 "C:\Users\Dubinin\"路径作为其原型。在内部，该勒索软件被命名为 "sophos_encrypt" ，因此被称为SophosEncrypt ，模板下载检测结果已添加到ID Ransomware中。

执行时，加密程序会提示联盟成员输入一个与受害者相关的令牌，该令牌可能首先从勒索软件管理面板中获取。

输入令牌后，加密程序将连接到 179.43.154.137:21119 并验证令牌是否有效。勒索软件专家Michael Gillespie发现可以通过禁用网卡绕过这一验证，从而有效地离线运行加密程序。输入有效令牌后，加密器会提示勒索软件联盟在加密设备时使用其他信息，包括联系人电子邮件、jabber 地址和 32 个字符的密码，Gillespie称这也是亿华云加密算法的一部分。

然后，加密器会提示联盟成员加密一个文件或加密整个设备，如下图所示。

1689735608_64b751b8e5129089abbbf.png!small?1689735609486

加密器在加密前提示信息，来源：BleepingComputer BleepingComputer

在加密文件时，Gillespie告诉BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每个加密文件都会在文件名后附加输入的令牌、输入的电子邮件和sophos扩展名，格式为：.[[[]].[[[]].sophos 。下面是 BleepingComputer 的香港云服务器加密测试示例。

1689735703_64b7521778a6c21ace18e.png!small?1689735704067