卡巴斯基实验室（Kaspersky Labs）发布了一款名为Elpaco的新型复杂勒索软件变种，它是Mimic勒索软件家族的进化版。这款先进的恶意软件具有大量定制功能，以全球受害者为目标，同时利用已知漏洞和合法软件工具隐秘地执行操作。

Elpaco 勒索软件通过被破坏的远程桌面协议 (RDP) 连接渗透系统，通常是通过暴力攻击实现的。一旦进入系统，攻击者就会利用臭名昭著的 CVE-2020-1472 漏洞（通常称为 Zerologon）来提升权限。这使他们能够完全控制受害者的服务器，为勒索软件的部署创造条件。

Elpaco 的突出特点之一是与合法文件搜索引擎 Everything 库集成，以简化其恶意活动。卡巴斯基的研究人员指出：“该病毒以类似于Mimic勒索软件的方式滥用了这个库。”

Elpaco 的武器库包括：

• 可定制的图形用户界面（GUI）： 操作员可以配置勒索软件的行为，如更改赎金说明、选择加密的文件和目录以及排除特定格式。
• 复杂的加密算法： 该恶意软件采用 ChaCha20 流密码进行文件加密，其密钥使用 RSA-4096 进一步加密，没有私人密钥几乎无法解密。
• 隐身和规避策略： Elpaco 会在加密后删除自身，利用 fsutil 命令等工具安全地清除其痕迹，确保在取证分析过程中尽量不被发现。

Elpaco 以密码保护压缩包的形式发布，其中包含各种组件，包括：

• 卫士控制工具 (DC.exe)： 用于禁用 Windows Defender。
• svhostss.exe： 主要可执行文件，模仿合法进程以迷惑分析人员。
• session.tmp： 会话密钥，可在加密中断时恢复加密。
• gui40.exe： 供操作员管理和自定义勒索软件参数的图形用户界面。

该勒索软件使用多线程方法加密文件，提高了速度和效率。在执行过程中，会保留详细的日志，如 MIMIC_LOG.txt，记录其操作，供攻击者查看。

MIMIC_LOG.txt 文件 | 图片： 卡巴斯基

Elpaco 与美国、俄罗斯、德国和韩国等多个大洲的攻击有关，其攻击范围还扩展到加拿大、罗马尼亚和英国等国家。有证据表明，包括 Elpaco 在内的 Mimic 变种自 2023 年 8 月以来一直在使用。

卡巴斯基的研究人员强调了 Elpaco 的适应性及其带来威胁的重要性。他们指出：“该工具提供了一个有趣的用户界面来定制其属性，同时允许操作员将参数导出到配置文件中。这种能力使其具有高度的通用性，对威胁行为者具有吸引力。”