Ako 勒索软件滥用 Windows API

据Cybersecuritynews消息，名为Ako(又名MedusaReborn）的勒索软件自2020年1月起开始活跃，采用 RaaS 模式攻击整个网络。近期研究发现，它通过滥用 Windows API 调用检测受感染系统位置。Ako先将文件下载到内存和磁盘，测试网络及端点控制情况。接着通过进程注入分配内存并写入外壳代码。还会调用特定 API 判断系统语言，尝试删除卷影副本。若成功，它就查找网络配置，修改注册表以访问网络驱动器，进行网络侦察，最后用特定加密模式对磁盘、文件夹和文件加密。