RaphEnio/Rasomware-as-a-Masquerade

# 伪装成勒索软件的勒索软件 (RaaM) 本仓库旨在收集关于伪装成勒索软件的恶意软件的报告。例如，一种即使不加密数据而是销毁数据，也会留下勒索信的恶意软件。 下表基于为我硕士论文做出贡献的研究。完整论文可在[此处](http://essay.utwente.nl/93500/)下载。 如果您对修改和/或补充有任何建议，请告诉我！ | **伪装的恶意软件** | **恶意软件名称/描述** | **手法** | **报告的活动日期** | **来源** | |---|---|---|---|---| | Wiper | KillDisk | 具有 Ransomware 功能的 Wiper。无法进行解密。 | 2016 | [WeLiveSecurity](https://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cant-decrypt/) | | Wiper | KillDisk | 擦除文件但留下勒索信 | 2016-2018 | [BleepingComputer](https://www.bleepingcomputer.com/news/security/killdisk-fake-ransomware-hits-financial-firms-in-latin-america/) | | Wiper | NotPetya（蠕虫），与 Petya Ransomware 相关 | 具有 Ransomware 功能的 Wiper。无法进行解密。 | 2016-2017 | [CSOOnline](https://www.csoonline.com/article/3233210/petya-ransomware-and-notpetya-malware-what-you-need-to-know-now.html)| | Wiper | ONI，另一个版本是基于 DiskCryptor 的 MBR-ONI（DiskCryptor 是一款合法工具，在 Bad Rabbit Ransomware 中也曾出现过） | Ransomware 被用作 Wiper。勒索信中使用的 Email：hyakunoonigayoru@yahoo[.]co.jp | 2017 | [CyberReason](https://www.cybereason.com/blog/night-of-the-devil-ransomware-or-wiper-a-look-into-targeted-attacks-in-japan)，[BleepingComputer](https://www.bleepingcomputer.com/news/security/oni-ransomware-used-in-month-long-attacks-against-japanese-companies/) | | Ransomware | Hermes Ransomware | 部署了 Ransomware 但没有勒索信或勒索要求。被认为是掩护行动，但不确定具体目的（可能是银行抢劫） | 2017 | [McAfee](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/taiwan-bank-heist-role-pseudo-ransomware/) | | Wiper | Ordinypt 的变种 | 伪装成 Ransomware 的 Wiper | 2019 | [EmsiSoft](https://blog.emsisoft.com/en/34134/why-are-cybercriminals-disguising-wipers-as-ransomware/) | | Wiper | GermanWiper（似乎与 Ordinypt 相同，参见 **Malpedia**）。与 Sodinokibi Ransomware 活动有相似之处 | Ransomware，但使用乱码覆盖数据而不是加密 | 2019 | [BleepingComputer](https://www.bleepingcomputer.com/news/security/germanwiper-ransomware-erases-data-still-asks-for-ransom/)，[Malpedia](https://malpedia.caad.fkie.fraunhofer.de/details/win.ordinypt) | | Ransomware | Thanos Ransomware 的破坏性版本 | 显示勒索信，但覆盖了主引导记录 (MBR)，导致系统无法使用 | 2020（当时并未发现实际攻击行为） | [ClearskySec](https://www.clearskysec.com/operation-quicksand/) | | Wiper | 命名为 Chaos，但与 Ryuk 相关 | 看起来像 Ransomware 的 Wiper | 开始于 2021 年 6 月，最后一次更新在 2021 年 8 月 | [TrendMicro](https://www.trendmicro.com/en_us/research/21/h/chaos-ransomware-a-dangerous-proof-of-concept.html) | | Wiper | Deadwood（又名 Detbosit），以及后来转变为 Ransomware 的 Apostle Wiper。据称 Apostle 与 IPsec Helper 由同一开发者编写 | 伪装成 Ransomware 的 Wiper | 2020 年初开始，2021 年底仍然活跃 | [SentinelOne](https://www.sentinelone.com/labs/from-wiper-to-ransomware-the-evolution-of-agrius/)，[SentinelOne](https://www.sentinelone.com/labs/new-version-of-apostle-ransomware-reemerges-in-targeted-attack-on-higher-education/) | | Ransomware（极有可能） | TTP 符合 Hello Ransomware 活动。作案手法与 APT27 相似 | 在部署 Ransomware 之前攻击被制止。有迹象表明 Ransomware 不是主要目标 | 2021 年 7 月 | [eSentire](https://www.esentire.com/security-advisories/ransomware-hackers-attack-a-top-safety-testing-org-using-tactics-and-techniques-borrowed-from-chinese-espionage-groups) | | RAT | STRRAT 与 Ransomware 的相似之处在于它会给文件追加 .crimson 后缀，但文件并未加密 | 伪装成 Ransomware 的 RAT。能够窃取数据。获取受害者的完全控制权。 | 2020 年 6 月发现，2021 年 5 月传播新版本 | [TheRecord](https://therecord.media/microsoft-warns-of-malware-campaign-spreading-a-rat-masquerading-as-ransomware/) | | Ransomware | 显然借鉴了基于 AutoIT 的 Ransomware 家族的代码 | Ransomware 使用 Email 地址 (pusheken91@bk[.]ru) 作为加密文件的扩展名。不会留下勒索信。 | 2020 年 5 月 | [BleepingComputer](https://www.bleepingcomputer.com/news/security/hackers-used-billing-software-zero-day-to-deploy-ransomware/) | | Wiper | MBRLocker 加上数据 Wiper | 恶意软件留下勒索信和地址，但无法获取解密密钥，结合了用固定字节数覆盖数据的恶意软件。 | 2022 年 1 月 | [BleepingComputer](https://www.bleepingcomputer.com/news/security/microsoft-fake-ransomware-targets-ukraine-in-data-wiping-attacks/)，[Zetter](https://zetter.substack.com/p/what-we-know-and-dont-know-about)，[Microsoft](https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/) | | Wiper | Trojan.Killdisk (HermeticWiper) | 留下勒索信的 Wiper。与所谓的“WhisperGate”攻击（见上文）有相似之处 | 2022 年 2 月 | [Symantec](http://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia) | | Ransomware | Onyx（Chaos 变种，见上文） | 销毁数据的 Ransomware（甚至设有泄露页面）。 | 2022 年 4 月（报告的版本） | [BleepingComputer](https://www.bleepingcomputer.com/news/security/beware-onyx-ransomware-destroys-files-instead-of-encrypting-them/) | | Wiper | 配备删除所有系统驱动器功能的恶意软件。（此功能在调查的二进制文件中无法正常工作） | 恶意软件重命名所有文件，留下勒索信并删除驱动器，但无法恢复文件。 | 2022 年 10 月 | [BleepingComputer](https://www.bleepingcomputer.com/news/security/fake-adult-sites-push-data-wipers-disguised-as-ransomware/) | | Wiper | Azov Wiper| 用固定大小的字节覆盖文件内容从而导致文件损坏的恶意软件。留下的勒索信没有提供联系方式，而是提供了记者和安全研究人员的 Twitter 账号，而这些人员与该恶意软件的创建或传播没有任何关系。| 2022 年 11 月 | [BleepingComputer](https://www.bleepingcomputer.com/news/security/azov-ransomware-is-a-wiper-destroying-data-666-bytes-at-a-time/) | | Wiper | CryWiper | 修改文件并留下勒索信的恶意软件。然而，修改后的文件无法恢复 | 2022 年 12 月 | [Kaspersky](https://www.kaspersky.com/blog/crywiper-pseudo-ransomware/46480/) |

标签：DAST, KillDisk, MBR, NotPetya, Wiper, 主引导记录, 伪勒索软件, 勒索信, 勒索病毒, 勒索软件伪装, 勒索软件研究报告, 安全事件分析, 恶意软件分析, 数据擦除器, 数据破坏, 破坏性恶意软件, 硕士学位论文, 磁盘加密, 网络威胁情报, 网络安全, 防御加固, 隐私保护