新型内华达勒索病毒的威胁分析

关键要点

• 新型内华达勒索病毒专门针对 Windows 和 VMware ESXi 系统。
• 募集俄罗斯和中国网络犯罪分子的加入，承诺支付 85%的赎金分成。
• 内华达勒索病毒具备实时谈判面板和独立的 Tor 域名，用于受害者和合作伙伴。
• 加密方法为 Salsa20，同时支持多种文件类型以及不同大小的文件。

据 报道，内华达勒索病毒于去年 12月首次出现，现已确认针对 Windows 和 VMware ESXi 系统，试图招募俄罗斯和中国的网络犯罪分子，承诺给予 85% 的赎金分成。根据
Resecurity 的报告，这种勒索病毒采用基于 Rust 的加密器，并配备有实时谈判面板，此外，针对受害者和合作伙伴的 Tor 域名也分别独立设置。

内华达勒索病毒使用 MPR.dll 来收集网络资源信息，同时将共享目录纳入加密队列。该恶意软件对大于 512KB 的文件进行了间歇性加密，使用
Salsa20 加密算法，但执行文件、SCR 文件、URL、DLL 文件、LNK 文件和 INI 文件均被排除在外。对于 VMware ESXi/Linux版本的勒索病毒，使用了相同的加密方法，但对于介于 512KB 至 1.25MB 的文件则被省略。

“为了恢复被内华达勒索病毒加密的数据，我们需要知道私钥 ‘B’ 和公钥 ‘A’，这两者被附加到文件末尾，同时需要 Salsa20
的随机数（nonce）、文件大小以及用于选择加密 ‘条带’ 的算法（这些可能是可以测量或猜测的），”Resecurity 表示。

特征 | 说明
—|—
附属招募 | 向网络犯罪分子提供 85% 的赎金分成
加密工具 | 基于 Rust 的加密器，使用 Salsa20 算法
受害者 & 合作伙伴 | 独立的 Tor 域名
文件类型排除 | 执行文件、SCR、URL、DLL、LNK 和 INI 文件被排除

内华达勒索病毒的出现进一步揭示了当前网络安全形势的严峻性，各个机构和个人需提高警惕，确保及时更新安全防护措施，以应对潜在的网络威胁。