据外媒报道，遭到黑客入侵的系统不仅装有恶意软件Amadey，还安装了勒索软件LockBit3.0。

2018年，有人第一次发现了恶意软件Amadey，该系统除了可以装载其它软件之外，还具有系统侦察、窃取信息的能力。

截至目前，最先版本的Amadey已基本不在市场上流通。

而新的Amadey Bot不仅在市面上流通，并且得到了SmokeLoader的支持。

SmokeLoader是一款很老的恶意程序，现在依旧在市面上流通。

此外，SmokeLoader也非常受黑客的欢迎。

最新版本的Amadey增加了防病毒检测和自动回避功能，使入侵和丢弃有效载荷更加隐蔽。

据了解，目前该软件在地下网站上的售价高达600美元。

此外，该恶意软件主要通过两种方法进行分发：一种是使用恶意Word文档文件；另一种是利用伪装成Word文件图标的可执行文件。

在第一种情况下，用户必须单击“启用内容”按钮来执行，之后就会创建一个LNK文件并将其存储到“C:\Users\Public\skem.lnk”。

此文件是Amadey的下载器。

第二情况则是指使用带有“Resume.exe”(Amadey) 的电子邮件附件，该文件使用Word文档图标，诱使收件人点击下载。

两种分发路径都会导致系统感染Amadey恶意软件。

而在之前的Amadey恶意软件中并没有带有LockBit 3.0勒索软件。

直到今年7月份，才发现Amadey已经放弃了各种信息窃取软件，例如RedLine；同时又加载了LockBit 3.0有效负载。

早些时候，人们了解的LockBit 2.0是通过分发侵犯版权的虚假电子邮件安装程序。

现在的LockBit 3.0则有两种安装方法，一种是使用带有VBA恶意的DOTM文档；另一种是删除包含NSIS格式的ZIP文件。

万变不离其宗，无论是LockBit 3.0还是LockBit 2.0其实都是从同一形式演变过来的。

而从Amadey到LockBit 3.0的首次启动，恶意软件会将自身复制到TEMP目录中并创建计划任务以保证系统重新启动时足够持久性。

接下来，Amadey连接到C2后发送主机分析报告，然后等待接收命令。

来自C2 服务器的三个命令可能以PowerShell（“cc.ps1”或“dd.ps1”）或exe（“LBB.exe”）的形式下载和执行LockBit软件。

之后有效载荷再次作为以下三个之一被丢弃在 TEMP 中：

%TEMP%\1000018041\dd.ps1；%TEMP%\1000019041\cc.ps1；%TEMP%\1000020001\LBB.exe。

最后，LockBit从加密用户那里获取文件并生成要求付款的赎金票据，同时威胁用户要在该组织的勒索网站上发布被盗文件以获得赎金。

时代在变化，各种恶意软件也在不断的进化发展。

对此，企业应该加强员工的网络安全意识，定期进行必要的安全普及；同时更应该提升网站防护力度，必要时可及时寻求专业人员及团队的帮助。

而安装ssl证书，对于企业更是百利而无一害。

信息加密：保证信息传输的机密性，保护账户安全，有效防止信息篡改，避免信息泄露。

身份认证：确认网站的真实性。确保站点安全，屏蔽骚扰攻击，钓鱼网站及中间人攻击。

防止流量劫持：有效解决搜索引擎、各大站点流量劫持的困扰，杜绝搜索结果页被篡改

地址栏安全锁：地址栏头部的“锁”型图标使您的访客放心浏览网页，提高用户信任度。

防止网页篡改：防止数据在传输过程中被篡改，保护用户体验。

（图源网络，侵删）