AlumniLocker和Humble的详解

研究人员在2021年2月发现了Humble勒索软件，这个不太典型的勒索软件家族是用可执行的包装程序(Bat2Exe)编译的。研究人员现在发现了两种Humble勒索软件变体，两种变体都具有勒索技术，可促使受害者迅速支付赎金。一个变体威胁受害者，一旦他们重启系统，主启动记录(MBR)将被重写;另一种变体也发出同样的威胁，如果受害者在五天内不支付赎金，MBR将被重写。

主要可执行文件是批处理文件本身，这可能不常见，但不是新文件。该勒索软件之所以与众不同，是因为它利用了通信平台Discord提供的公共Webhook服务向其报告或向受害者传播感染报告。

Humble勒索软件拒绝explorer.exe查看或访问本地存储驱动器。

研究人员分析的第一个Humble勒索软件变体删除了%temp%\{temp directory}\extd.exe组件，该组件通常用于加密和Web API二进制文件，以帮助进行文件加密。

该恶意软件利用certutil.exe(一种管理Windows证书的程序)从随机输入生成密钥，然后extd.exe组件将使用它来加密文件。
研究人员分析的第二个Humble勒索软件变体使用PowerShell，certutil.exe和extd.exe下载组件文件(由趋势科技检测为Boot.Win32.KILLMBR.AD)，而不是在批处理中进行编码并自动从批处理中删除文件。
 

（编辑：ASP站长网）