研究发现，早期“三重勒索”软件SunCrypt至今仍然活跃

据Bleeping Computer消息，作为一种RaaS（勒索软件即服务），SunCrypt在2020年期间活动猖獗，虽然在这之后有所沉寂，但根据最新发现，该勒索软件目前仍不时处于活跃状态。

SunCrypt 是早期的“三重勒索”软件之一，包括文件加密、威胁发布被盗数据以及针对非付费受害者的 DDoS（分布式拒绝服务）攻击。尽管如此，SunCrypt在这之后并没有发展成为一个大型的RaaS组织，但根据Minerva Labs的一份报告，这种停滞并没有阻止SunCrypt不断更迭出新的版本。

在今年的版本中，SunCrypt的新功能包括终止进程、停止服务以及擦除设备数据执行勒索。这些功能在其它勒索软件中已经存在，因而就目前看来SunCrypt仍处在开发的早期阶段。

进程终止包括资源密集型进程，这些进程可以阻止对打开的数据文件进行加密，例如写字板（文档）、SQLWriter（数据库）和 Outlook（电子邮件）；清理功能在加密例程结束时激活，使用两个 API 调用来擦除所有日志。清除所有日志后，勒索软件会使用 cmd.exe将自身从磁盘中删除。最新版本中保留的一个重要的旧功能是使用I/O完成端口，通过进程线程实现更快的加密。

清除事件日志的 API 调用

此外，SunCrypt继续对本地卷和网络共享进行加密，并且仍然保持着对Windows目录、boot.ini、dll文件、回收站和其他项目的允许列表。如果这些项目被加密，计算机将无法操作。

SunCrypt使用的最新版赎金票据

目前，SunCrypt的活动策略可能是针对高价值实体，并且将赎金支付的谈判保密，避免引起执法部门注意和来自媒体的报道。据悉，瑞士最大的连锁超市Migros已成为最新的受害者，该企业拥有超10万名员工。

综上，SunCrypt无疑是一个尚未破解的威胁，对其发展还需要进行密切的观察。

参考来源：https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-is-still-alive-and-kicking-in-2022/