Mamona 勒索软件是一种简单的“商品化”勒索软件变种，完全在离线状态下运行，降低了攻击门槛，使得技术水平较低的攻击者也能实施攻击。威胁情报分析师 Mauro Eldritch 在本周二发布于 ANY.RUN 博客的分析报告中指出。

　　与勒索软件即服务（RaaS）模式不同，在 RaaS 模式中，勒索软件开发者与合作伙伴合作并从利润中抽成，而商品化勒索软件运营商仅出售勒索软件生成器，没有进一步的合约。

　　在 Mamona 的案例中，攻击者甚至无需设置命令与控制（C2）基础设施，因为该勒索软件完全离线运行，使用一个“自制”的加密程序，不依赖标准的密码学库或 API。

　　“相反，所有的密码学逻辑都通过低级内存操作和算术运算在内部实现，”Eldritch 解释道。Mamona 是一种相对较新的勒索软件变种，之前曾被 BlackLock 勒索软件集团的合作伙伴使用，在 BlackLock 被拆解后，据报道被 DragonForce 团伙接管。此外，Mamona 的一个生成器也在明网上泄露，进一步增加了低级别网络犯罪分子获取它的机会。

　　如前所述，Mamona 不会与任何外部服务器建立连接，使其成为一种“静默”的勒索软件，在本地运行，可能更难被检测到。感染后，Mamona 会向回环 IP 地址 127.0.0.7 发送请求以延迟执行，然后使用 del /f /q 命令删除自身可执行文件，以限制取证分析。

　　该恶意软件会进行一些侦查活动，收集诸如系统名称和配置语言等数据，并在多个文件夹中投放名为“README.HAes.txt”的勒索信，信中威胁如果不支付赎金将泄露数据。尽管如此，该勒索软件不会进行任何在线连接，也不会从受害者的机器中窃取数据。

　　相反，文件会被使用简单的自定义方法加密，并重命名为 .HAes 扩展名，使受害者无法访问。勒索信中包含指向暗网博客和聊天门户的链接，供受害者联系威胁行为者。

　　Eldritch 从另一位名为 Merlax 的恶意软件研究员那里获得了一个 Mamona 解密器样本，该解密器虽然外观简陋但功能正常，可以将文件恢复至原始状态。对解密器的深入分析进一步证实了其使用了自制的对称加密程序，没有传统的 XOR 操作。

　　Eldritch 警告称，尽管 Mamona 使用相对较弱的加密方法且缺乏数据窃取能力，但其“静默”的移动方式和对低技能网络犯罪分子的易用性，对个人和组织都构成了风险。

　　“这一变种突出了一种上升趋势：勒索软件以降低复杂性为代价换取易用性。它易于部署，较难被传统工具检测到，但仍足够有效，可以加密系统并向受害者施压以支付赎金，”Eldritch 写道。

　　Eldritch 最后总结道，密切关注本地活动并使用如沙箱等动态分析方法来更好地理解和调查像 Mamona 这样的威胁，可以帮助安全团队领先于新兴的“商品化”变种。