网络安全公司 Acronis 的一份报告显示,犯罪分子正利用一种名为 JanaWEARE 的新型勒索软件,针对土耳其境内的个人及小微企业发起攻击。
研究人员发现,该勒索软件自 2020 年起便已活跃。该恶意软件采用了基于系统语言区域和外部 IP 地理位置的执行限制机制,以确保其仅感染位于土耳其境内的系统。
Acronis 的研究人员指出,由于该攻击活动具有明显的地域针对性且规模较小,因此可能在长达数年的时间里未被察觉。黑客似乎正在采取一种“低价值、高频率”的策略,其赎金要求仅在 200 美元至 400 美元之间。
针对性的感染途径
此类攻击主要针对家庭用户以及中小企业。大多数受害者是通过包含恶意 Java 压缩包的钓鱼邮件感染的。
Acronis 发现,该勒索软件通常在一种名为 Adwind 的恶意软件感染之后出现。这种前置恶意软件使用了高度混淆技术,旨在阻碍安全软件的检测与分析。
在多起分析案例中,攻击链始于通过 Microsoft Outlook 阅读的电子邮件。邮件中的 Google Drive 链接会触发一个进程,进而下载恶意载荷。
JanaWare 的勒索信使用土耳其语编写,并指示受害者通过 qTox 联系攻击者。qTox 是一个运行在 Tox 点对点网络上的去中心化聊天平台。勒索信直接嵌入在恶意软件内部。
这种本地化的手段同时也限制了国际安全研究人员对该威胁进行深入调查的能力。Acronis 表示,这种地理范围的局限性表明,该攻击活动是一场有预谋的针对性行动,而非随机的投机性攻击。
JanaWare 的出现正值全球勒索软件生态系统走向碎片化之际。随着几个主要勒索软件团伙遭到瓦解,美国联邦调查局(FBI)近期确认了 63 种新的勒索软件变种,这些变种在去年造成了超过 3200 万美元的损失。
来自 TRM Labs 的数据显示,尽管与区块链相关的勒索软件交易额从 2024 年的 19 亿美元下降到 2025 年的 13 亿美元,但新变种的数量较前一年增长了 94%。
“我们在 2025 年看到的是一个比以往任何时候都更加碎片化的勒索软件生态系统,”TRM Labs 全球政策主管 Ari Redbord 表示。Redbord 指出,虽然针对品牌层面的打击对日益增多的变种效果有限,但这种碎片化也为执法部门追踪洗钱基础设施创造了新的契机。