瑞星解读：不要钱，只为要挟政府的讹诈软件——RoadSweep

2022年7月，阿尔巴尼亚遭遇了一场严峻的收集进攻事务，其政府部分被迫封闭所有供给在线公共办事的网站和政府官方网站。阿尔巴尼亚总理埃迪·拉马就此事表达，政府思疑此次进攻是由某个国度组织的，而非通俗黑客或有组织的立功集团倡议。同年9月，进攻者又针对阿尔巴尼亚TIMS、ADAM和MEMEX系统倡议了第二波收集进攻。在那两次出于政治动机的收集进攻中，名为“RoadSweep”的讹诈软件被曝出。

近日，瑞星平安研究院针对RoadSweep讹诈软件的两次进攻样本停止了详尽的阐发，发现该讹诈软件别离假装成XML阅读东西和PDF转换东西，通过有效数字签名绕过检测，进而对受害者电脑数据停止加密，到达骚乱政治的目标。目前，瑞星ESM防病毒末端平安防护系统已可查杀相关样本，广阔用户可安拆该产物停止提防。

图：有效的数字签名

瑞星平安专家介绍，在那两起进攻事务中，进攻者将RoadSweep讹诈软件别离假装成XML阅读东西和PDF转换东西，均操纵了英伟达（Nvidia）和科威特电信公司（Kuwait Telecommunications Company）的有效数字证书（目前该证书已失效）来签订讹诈软件，因而具有必然的迷惘性，同时绕过了平安软件的检测。

固然那两起进攻中讹诈信文本内容差别，但都利用阿尔巴利亚语与英语提及不异的政治动静：

进攻者在第一次进攻中利用的讹诈信内容：

"Pse duhet të shpenzohen taksat tona në dobi të terroristëve të DURRESIT?"

"Why should our taxes be spent on the benefit of DURRES terrorists?"

（为什么我们的税收应该用于DURRES恐惧分子的利益？）

进攻者在第二次进攻中利用的讹诈信内容：

Shqipëria ende po paguan për aktet terroriste të kultit MEK në Durrës;Dhe kjo lojë do të vazhdojë ...

展开全文

Albania is still paying for the terrorist acts of the MEK cult in Durres;And this game WILL continue ...

（阿尔巴尼亚仍在为杜勒斯MEK邪教组织的恐惧行为买单；那场角逐将陆续。。。）

同时，在第一封讹诈信中，进攻者供给了四组德律风号码以成立沟通，此中的第一个德律风号码竟然是阿尔巴尼亚总统Ilir Meta曾经利用的号码：0682031701，0682099450，0697047470，0682030272。

图：第一次进攻中的讹诈信

图：第二次进攻中的讹诈信

瑞星平安专家表达，近年来有越来越多的讹诈组织以国度政务、关键根底设备为次要进攻目标，进侵政府本能机能部分或内部系统，侵扰社会及公众的日常消费、生活，给国度和社会带来极大的平安风险，因而国内相关部分应进步警惕，加强防护，制止类似的事务发作。详细提防办法如下：

摆设收集平安态势感知、预警系统等网关平安产物。网关平安产物可操纵威胁谍报逃溯威胁行为轨迹，搀扶帮助用户停止威胁行为阐发、定位威胁源和目标，逃溯进攻的手段和途径，从泉源处理收集威胁，更大范畴内发现被进攻的节点，搀扶帮助企业更快响应和处置。

安拆有效的杀毒软件，拦截查杀歹意文档和木马病毒。杀毒软件可拦截歹意文档和木马病毒，假设用户不小心下载了歹意文件，杀毒软件可拦截查杀，阻遏病毒运行，庇护用户的末端平安。

图：瑞星ESM防病毒末端平安防护系统可查杀相关样本