曾冒充Sophos进行非法活动，又一新型勒索软件曝光！

发布时间：2025-12-07 21:32:28 作者：玩站小弟

我要评论

近日，市面上出现了一款名为SophosEncrypt的新型勒索软件，该软件与网络安全厂商Sophos同名，因此有一些威胁行为者专门冒用该公司名称进行一些非法行动。MalwareHunterTeam在本。

近日，曾冒市面上出现了一款名为SophosEncrypt的行非新型新型勒索软件，该软件与网络安全厂商Sophos同名，法活因此有一些威胁行为者专门冒用该公司名称进行一些非法行动。动又

MalwareHunterTeam在本周一（7月17日）首次发现了这款勒索软件，勒索起初还以为它是软件 Sophos 红队演习的一部分。

但很快Sophos X-Ops团队就在推特上表明，曝光他们并没有创建该加密程序，曾冒且正在对此次事件进行调查。行非新型

Sophos X-Ops团队表示，法活他们早些时候在VT上发现了这个勒索软件并且一直在调查。动又但据初步调查结果显示，勒索Sophos InterceptX可以抵御这些勒索软件样本。软件

此外，模板下载曝光ID勒索软件显示了一份受害者提交的曾冒报告，表明此勒索软件目前仍处于活动状态。虽然对RaaS操作及其推广方式知之甚少，但MalwareHunterTeam还是发现了一个加密器的样本。

SophosEncrypt 勒索软件

据悉，该勒索软件的加密程序是用 Rust 编写的，并使用了 "C:\Users\Dubinin\"路径作为其原型。在内部，该勒索软件被命名为 "sophos_encrypt"，因此被称为SophosEncrypt ，源码库检测结果已添加到ID Ransomware中。

执行时，加密程序会提示联盟成员输入一个与受害者相关的令牌，该令牌可能首先从勒索软件管理面板中获取。

输入令牌后，加密程序将连接到 179.43.154.137:21119 并验证令牌是否有效。勒索软件专家Michael Gillespie发现可以通过禁用网卡绕过这一验证，从而有效地离线运行加密程序。输入有效令牌后，加密器会提示勒索软件联盟在加密设备时使用其他信息，包括联系人电子邮件、jabber 地址和 32 个字符的密码，Gillespie称这也是建站模板加密算法的一部分。

然后，加密器会提示联盟成员加密一个文件或加密整个设备，如下图所示。

1689735608_64b751b8e5129089abbbf.png!small?1689735609486

加密器在加密前提示信息，来源：BleepingComputer BleepingComputer

在加密文件时，Gillespie告诉BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每个加密文件都会在文件名后附加输入的令牌、输入的电子邮件和sophos扩展名，格式为：.[[[]].[[[]].sophos。下面是 BleepingComputer 的服务器租用加密测试示例。

1689735703_64b7521778a6c21ace18e.png!small?1689735704067

被SophosEncrypt加密的文件，来源：BleepingComputer BleepingComputer

在每个文件被加密的文件夹中，勒索软件都会创建一个名为 information.hta 的赎金说明，加密完成后会自动启动。该赎金说明包含有关受害者文件遭遇情况的信息，以及关联方在加密设备前输入的联系信息。

1689735825_64b7529165f69bd3731b8.png!small?1689735826767

SophosEncrypt 勒索信，来源：BleepingComputer BleepingComputer

该勒索软件还能更改 Windows 桌面壁纸，壁纸会直接显示为它所冒充的 "Sophos "品牌。亿华云

1689735899_64b752db3aff3cbd9f348.png!small?1689735899992

SophosEncrypt 壁纸，来源：BleepingComputer BleepingComputer

加密程序中多次提到位于 http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion 的 Tor 网站。这个 Tor 网站不是一个谈判或数据泄漏网站，而似乎是勒索软件即服务操作的附属面板。

1689736041_64b753696a6d87848acf5.png!small?1689736042581

勒索软件面板，来源：BleepingComputer BleepingComputer

Sophos研究人员对 SophosEncrypt 恶意软件进行分析后发布了一份关于新的 SophosEncrypt 勒索软件的报告。

该报告显示，该勒索软件团伙位于 179.43.154.137 的命令和控制服务器与之前攻击中使用的 Cobalt Strike C2 服务器有所关联。香港云服务器

此外，两个样本都包含一个硬编码 IP 地址，该地址在近一年多的时间内一直与 Cobalt Strike 命令控制和自动攻击有关，这些攻击还曾试图用加密采矿软件感染其他计算机。

Tag：

确保智能建筑的安全：网络安全和自动化的重要性
BIll Gates是著名的智能建筑倡导者。其个人斥资约8000万美元在亚利桑那州Buckeye附近购买了超过24,000英亩的土地来建设智慧城市，并公开谈论智能建筑技术的巨大潜力，以及这些创新将如何
2025-12-07
ASIC会不会取代GPU？
最近这段时间，美国股票市场的动静比较大。有两个科技股概念，突然变得很火，引起了市场的高度关注，涨幅惊人。这两个概念，分别是ASIC和量子计算。今天这篇文章，我们主要说说ASIC。按资本市场的说法，AS
2025-12-07
量旋科技项金根：坚持“双轮驱动”战略，加速量子计算产业化和普惠化
从普朗克首次提出量子概念到目前为止，量子力学已经经历了一百多年的发展。时到今日，量子计算除了在技术上有了更多的进展之外，越来越多的企业也正在积极探索量子计算在更多商业场景中的落地应用。2023年04月
2025-12-07
智能百科 | 什么是光纤接续损耗？
毫无疑问，光纤电缆是一种比主流铜缆更快、更轻、更灵活、更可靠的数据传输方式。随着对数据和高速通信的需求不断增长，光纤将变得无处不在。然而，构建长距离光缆网络也面临着挑战。这种安装是通过用光缆连接器或熔
2025-12-07
Apple地理定位API暴露了全球WiFi接入点
苹果公司的 Wi-Fi 定位系统 WPS）可用于绘制和跟踪全球的 Wi-Fi 接入点 AP）。在 2024 年黑帽大会的演讲中，马里兰大学研究员 Erik Rye 将演示他是如何在几天内绘制出数亿个
2025-12-07
确保数据中心安全必须采取的关键步骤
术语“数据中心安全”是指数据中心采用的物理过程和虚拟技术，以保护其免受外部入侵。数据中心是一种包含信息技术基础设施的设施，该基础设施由网络计算机和用于管理、处理和存储大量数据的存储设备组成。得益于数据
2025-12-07