標題：勒索軟件Retch和S.H.O概述

https://hacker.bz/t/entry/15972-%E6%A8%99%E9%A1%8C%EF%BC%9A%E5%8B%92%E7%B4%A2%E8%BB%9F%E4%BB%B6retch%E5%92%8Csho%E6%A6%82%E8%BF%B0/

Followers

FortiGuard實驗室每兩週收集一次感興趣的勒索軟件變體的數據，並發布有關報告，旨在讓讀者了解不斷發展的勒索軟件形勢以及抵禦這些變體的緩解措施，本文要講的是Retch和S.H.O勒索軟件。

受影響的平台：Microsoft Windows；

受影響方：Microsoft Windows用戶；

影響：加密和洩露受害者的文件，並要求贖金解密文件；

嚴重性級別：高；

Retch勒索軟件概述Retch是2023年8月中旬首次發現的一種新的勒索軟件變體，它在受攻擊設備上加密文件，並留下兩張勒索信，要求受害者支付贖金來解密文件。

攻擊媒介雖然目前無法獲得有關Retch勒索軟件攻擊者使用的攻擊媒介的信息，但是它可能與已知其他勒索軟件組織有顯著關聯。

目前，來自以下國家的Retch勒索軟件樣本已提交給公共文件掃描服務:

美國

伊朗

德國

俄羅斯

法國

哥倫比亞

韓國

義大利

一旦勒索軟件運行，它就會查找並加密具有以下文件擴展名的文件：

以下目錄不支持文件加密：

'Windows'

'Program Files'

'Program Files (x86)'

勒索軟件為加密文件添加了“.Retch”擴展名。

由Retch勒索軟件加密的文件

然後，它會在每個加密文件的文件夾中放上一條標記為“Message.txt”的勒索信。

Retch勒索軟件釋放的勒索信

在勒索信中，攻擊者要求受害者支付價值300歐元的比特幣來解密文件，由於贖金要求較低，Retch勒索軟件的攻擊目標很可能是一般消費者而不是企業。如下圖所示，贖金信息有法語和英語兩種版本，這使我們相信Retch勒索軟件主要針對法國用戶。然而，進一步的調查顯示，情況並非如此。

研究人員還發現，放在桌面上的勒索信與“Message.txt”不同。留在桌面上的勒索信標有“HOW TO RECOVER YOUR FILES.txt”，並要求受害者支付價值1000美元的比特幣進行文件解密。這份勒索信有一個不同的聯繫電子郵件地址，其中包括攻擊者的比特幣錢包地址。

Retch勒索軟件在桌面上留下的勒索信標有“HOW TO RECOVER YOUR FILES.txt”

事實證明，Retch勒索軟件是基於一個公開的勒索軟件源代碼開發的，該源代碼聲稱用於教育目的，似乎是基於一款著名的開源勒索軟件“HiddenTear”。默認情況下，開源勒索軟件的勒索信如下圖所示，攻擊者似乎只在桌面上定制了只有英文的勒索信，而其他所有位置的勒索信都沒有受到影響，這表明Retch勒索軟件並沒有像最初想像的那樣針對法國用戶。如上所述，向公共文件掃描服務提交文件的國家很普遍，這進一步表明研究人員的懷疑是正確的。

在我們進行調查時，攻擊者的比特幣錢包沒有記錄任何交易。

S.H.O勒索軟件概述攻擊媒介目前還沒有關於S.H.O勒索軟件攻擊者使用的攻擊媒介的信息，不過，它可能與已知其他勒索軟件組織有顯著關聯。

S.H.O勒索軟件樣本已提交給以下國家的公共文件掃描服務：

美國；

加拿大；

勒索軟件執行勒索軟件運行後，會對受攻擊設備上的文件進行加密，並添加五個隨機字母和數字作為文件擴展名。