● 而另一個指令檔似乎是開源工具 EventCleaner 的編譯版本,可用於抹除或修改 Windows 事件日誌的內容。攻擊者利用它來刪除他們一切操作的痕跡
Epsilon Red 在受感染電腦留下的勒索註記和 REvil 勒索軟體類似,但更正了部份語法。
攻擊者鼓勵受害者透過特定網站與他們聯繫。根據攻擊者提供的加密貨幣地址,至少有一名 Epsilon Red 的受害者支付了 4.29 BTC (約 21 萬美元) 的贖金。
Sophos Rapid Response 團隊經理 Peter Mackenzie 表示:
「Epsilon Red 是一種有意思的新型勒索軟體。實際的勒索軟體檔案本身非常精簡,可能是因為它已將其他工作 (如刪除備份) 卸載到 PowerShell 指令檔去了。它實際上只會加密檔案,而且不會精確鎖定對象。意思是如果它要加密一個資料夾,就會直接加密該資料夾中的所有檔案。不幸的是,這代表其他可執行檔和動態連結程式庫 (DLL) 也會被加密,可能會導致重要的執行中程式或整個系統停擺。因此,被攻擊的電腦需要完全重建。
「Sophos 對攻擊者行為的分析表明,他們可能對這些工具的可靠性或攻擊能否成功缺乏信心,因此他們採取了一些替代方案和備份計畫以防萬一。例如,在攻擊序列早期,攻擊者會下載並安裝遠端桌面軟體 Remote Utilities 和 Tor 瀏覽器的副本,這可能是為了在初始進入點被封鎖後確保另一個立足點。還有在其他情況中,我們看到攻擊者發出多餘的命令,使用稍微不同的方法來完成同一件事,例如刪除處理程序和備份。防止 Epsilon Red 等勒索軟體入侵的最佳方法,就是確保已經完全修補好伺服器,而且您的安全解決方案可以偵測並阻擋任何可疑和加密檔案的行為。」
