MEOW 勒索软件：完整指南

MEOW 勒索软件是一种恶意软件变体，因其在网络威胁领域的破坏性活动而受到关注。 MEOW 源于臭名昭著的 Conti 勒索软件，代表了一种修改后的迭代，继承了其核心功能和加密技术。Conti 是一种臭名昭著的勒索软件即服务操作，活跃了几年，直到突然爆发。2022 年 5 月停产。 Conti 的源代码被泄露同年3月，产生后续变体，包括 MEOW。

SalvageData 专家建议采取主动的数据安全措施，例如定期备份、强大的网络安全实践以及保持软件最新，以防止恶意软件攻击。和，如果发生恶意软件攻击，请立即联系我们的恶意软件恢复专家。

众所周知，该勒索软件会针对多种文件进行加密，并附加文件扩展名“.MEOW”，并使用户无法访问这些文件。除了加密文件之外，MEOW 还会留下名为“readme.txt”的勒索字条，这是勒索软件与受害者通信的常见策略。MEOW 勒索软件的影响已扩展到各个领域，其中发生了一些值得注意的事件，例如范德比尔特大学医学中心的网络事件，引起人们对威胁威力的关注。

我们所知道的有关 MEOW 勒索软件的一切

确认姓名

• 喵病毒

‍

MEOW勒索软件解密器

‍MEOW 勒索软件有一个解密工具，该工具衍生自 NB65 勒索软件，并基于 Conti v21 泄露的源代码构建。该解密实用程序称为Rakhni解密器并已由卡巴斯基发布。该工具设计用于在 Windows 操作系统上运行，能够解密具有以下扩展名的文件

• .喵
• 。猫
• 。小猫
• .猫科动物。

‍

威胁类型

• 勒索软件
• 加密病毒
• 文件柜
• 数据泄露

‍

加密文件扩展名

• .喵

‍

勒索信文件名

• 自述文件.txt

‍

检测名称

• 阿瓦斯特Win32:Conti-B [赎金]
• 埃姆西软件基因：变体.Mikey.147541 (B)
• 卡巴斯基HEUR:Trojan-Ransom.Win32.Generic
• 恶意软件字节通用恶意软件/可疑
• 微软赎金：Win32/Conti.IPA!MTB

‍

分配方式

• 网络钓鱼电子邮件
• 恶意广告（恶意广告）
• 漏洞利用套件
• 远程桌面协议 (RDP)

MEOW勒索软件感染及执行方法

MEOW 勒索软件源自 NB65 勒索软件谱系，通过对受害者计算机上的文件进行加密并要求赎金来释放其，从而成为一种可怕的威胁。MEOW 采用复杂的混合加密方案，合并 ChaCha20 和 RSA-4096 算法，战略性地使文件在没有难以捉摸的相应私钥的情况下无法访问。

感染方法

• 网络钓鱼电子邮件

网络钓鱼电子邮件是一种欺骗性消息，会掩盖其真实意图，将自己伪装成合法通信以逃避审查。这些​​电子邮件会诱骗用户打开看似无害的附件或单击包含恶意负载的嵌入式链接。恶意负载是在目标系统或网络上执行的文件、代码或命令。

• 漏洞利用套件

漏洞利用工具包是网络犯罪分子用来利用您的数字防御中的漏洞的自动化工具。在您不知情的情况下，漏洞利用工具包会利用您软件中的弱点悄悄安装勒索软件。

• 远程桌面协议 (RDP)

黑客要么使用密码技巧窃取访问凭据，要么利用 RDP 系统中的弱点。一旦他们通过 RDP 成功突破您的数字防御，就会开始手动操作。入侵者拥有未经授权的访问权限，手动将勒索软件释放到您的系统上。这将启动加密过程，您受损的系统将落入攻击者的控制之下。

• 恶意广告（恶意广告）

恶意广告是“恶意”和“广告”的混合体，是一种看似无辜但隐藏威胁的在线广告。他们可以将毫无戒心的用户重定向到有害网站或秘密传播恶意软件。当用户点击这些广告时，它会触发隐藏在广告中的恶意负载，从而开始下载和安装勒索软件。

不要支付赎金！联系勒索软件恢复服务不仅可以恢复您的文件，还可以消除任何潜在威胁。

MEOW 勒索软件妥协指标 (IOC)

妥协指标 (IOC) 是在网络或操作系统中观察到的伪影，可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件来及早检测未来的攻击尝试。

另请阅读：GandCrab 勒索软件：完整指南

它们本质上是犯罪现场留下的证据的数字版本，潜在的 IOC 包括异常的网络流量、来自外国的特权用户登录、奇怪的 DNS 请求、系统文件更改等等。当检测到 IOC 时，安全团队会评估可能的威胁或验证其真实性。 IOC 还提供攻击者渗透网络后可以访问的内容的证据。

MEOW 勒索软件特定的 IOC

IOC 可以深入了解 MEOW 勒索软件活动的潜在迹象。然而，保持更新至关重要，因为 IOC 可能会随着勒索软件的演变而发生变化。为了帮助检测和响应潜在的 MEOW 勒索软件攻击，已确定以下妥协指标 (IOC)：

‍文件扩展名：.MEOW、.CAT、.KITTEN 或 .FELINE。

‍赎金备注：“自述文件.txt”

‍注册表键值：

• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMEOW
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies
  系统启用LUA
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies
  系统同意提示行为管理员
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies
  系统同意提示行为用户

‍

网络流量：

• meowransomware[.]com
• 喵勒索软件[.]net
• meowransomware[.]org
• 185.141.25[.]241
• 185.141.25[.]242
• 185.141.25[.]243
• 185.141.25[.]244

MEOW 勒索信

勒索字条提供了多种联系方式，包括电子邮件地址和 Telegram 用户名。受害者被指示通过这些渠道发起与攻击者的沟通，以获得有关勒索付款和潜在文件解密的进一步说明。需要注意的是，与网络犯罪分子接触并支付赎金并不能保证文件的找回，安全专家强烈建议不要采取此类行为。

如何应对 MEOW 勒索软件攻击

从 MEOW 勒索软件攻击中恢复的第一步是通过断开与互联网的连接并删除所有连接的设备来隔离受感染的计算机。然后，您必须联系地方当局。就美国居民和企业而言，联邦调查局和网络犯罪投诉中心（IC3）要报告恶意软件攻击，您必须收集有关该攻击的所有信息，包括：

• 勒索信截图
• 与威胁行为者的沟通（如果有的话）
• 加密文件的示例

但是，如果您愿意联系专业人士，那么最好让每台受感染的机器保持原样并要求紧急勒索软件清除服务。这些专业人员有能力快速减轻损害、收集证据、可能逆转加密并恢复系统。

重新启动或关闭系统可能会影响恢复服务。捕获实时系统的 RAM 可能有助于获取加密密钥，捕获 dropper 文件（即执行恶意负载的文件）可能会被逆向工程并导致数据解密或了解其运行方式。

你必须不删除勒索软件，并保留所有攻击证据。这对于数字取证专家们将追踪该黑客组织并查明其身份。当局可以通过使用受感染系统上的数据调查这次攻击。网络攻击调查与任何其他刑事调查没有什么不同：它需要证据来找到攻击者。

1.联系您的事件响应提供商

网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议，允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化的专业知识和支持，使他们能够在网络事件期间快速有效地做出响应。

事件响应保留人员让组织高枕无忧，在网络安全事件发生之前和之后提供专家支持。事件响应保留程序的具体性质和结构将根据提供商和组织的要求而有所不同。良好的事件响应保留者应该强大而灵活，提供经过验证的服务来增强组织的长期安全态势。

‍如果您联系您的 IR 服务提供商，他们可以立即接管并指导您完成勒索软件恢复的每个步骤。但是，如果您决定与 IT 团队一起删除恶意软件并恢复文件，则可以按照以下步骤操作。

2.使用备份恢复数据

备份对于数据恢复的重要性怎么强调都不为过，尤其是在数据完整性存在各种潜在风险和威胁的情况下。备份是全面数据保护策略的关键组成部分。它们提供了从各种威胁中恢复的方法，确保操作的连续性并保留有价值的信息。面对勒索软件攻击，恶意软件会加密您的数据并要求付费才能释放数据，备份可以让您恢复信息，而不会屈服于攻击者的要求。

确保定期测试和更新您的备份程序，以提高其防范潜在数据丢失情况的有效性。进行备份的方法有多种，因此您必须选择正确的备份介质，并至少在异地和离线状态下存储一份数据副本。

3. 联系恶意软件恢复服务

如果您没有备份或需要帮助删除恶意软件并消除漏洞，请联系数据恢复服务。支付赎金并不能保证您的数据会归还给您。恢复每个文件的唯一有保证的方法是您有备份。如果不这样做，勒索软件数据恢复服务可以帮助您解密和恢复文件。

SalvageData 专家可以安全地恢复您的文件并防止 MEOW 勒索软件再次攻击您的网络，请全天候 (24/7) 联系我们的恢复专家。

防范 MEOW 勒索软件攻击

防止恶意软件是数据安全的最佳解决方案。比从中恢复更容易、更便宜。 MEOW 勒索软件可能会毁掉您企业的未来，甚至关门大吉。以下是一些提示，可确保您可以避免恶意软件攻击:

• 保留你的 操作系统和软件是最新的具有最新的安全补丁和更新。这有助于防止攻击者利用的漏洞。
• 使用强而独特的密码对于所有帐户，并尽可能启用双因素身份验证。这可以帮助防止攻击者访问您的帐户。
• 警惕可疑电子邮件、链接和附件。不要打开电子邮件或点击来自未知或可疑来源的链接或附件。
• 使用信誉良好的防病毒和反恶意软件软件并保持最新。这可以帮助在恶意软件造成损害之前检测并删除它。
• 使用防火墙阻止对您的网络和系统的未经授权的访问。
• 网络分段将较大的网络划分为较小的子网络，子网络之间的互连性有限。它限制攻击者的横向移动并防止未经授权的用户访问组织的知识产权和数据。
• 限制用户权限防止攻击者访问敏感数据和系统。
• 教育员工和员工关于如何识别和避免网络钓鱼电子邮件和其他社会工程攻击。

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]