美国司法部今天表示，居住在委内瑞拉玻利瓦尔城的拥有法国和委内瑞拉国籍的 55 岁心脏病专家莫伊塞斯·路易斯·扎加拉·冈萨雷斯 (Zagala) 创建了 Jigsaw 和 Thanos 勒索软件并将其出租给网络犯罪分子。

Zagala（又名 Nosophoros、Aesculapius 和 Nebuchadnezzar）还向购买恶意软件并分享在全球范围内勒索受害者后赚取的利润的网络犯罪分子提供支持。

“据称，这位多任务医生治疗病人，在死后创建并命名他的网络工具，从全球勒索软件生态系统中获利，在该生态系统中他出售进行勒索软件攻击的工具，培训攻击者如何勒索受害者，然后吹嘘关于成功的攻击，包括与伊朗政府有关的恶意行为者，”美国检察官布雷昂·和平说。

“我们声称 Zagala 不仅创造并向黑客出售勒索软件产品，而且还培训了他们的使用方法，”助理主管 Driscoll补充道。

Jigsaw 勒索软件 包括一个“世界末日”计数器，它会每小时从受害者的驱动器中删除一定数量的文件， 直到支付赎金，每次重置后文件数量都会增加。

Jigsaw 自 2021 年秋季以来一直没有活跃，即便如此，活跃度也很低。Emsisoft提供 Jigsaw 勒索软件解密器 。

Thanos 勒索 软件是一种在俄语黑客论坛上宣传的勒索软件即服务 (RaaS) 操作。该恶意软件允许关联公司使用开发人员提供的构建器自定义他们自己的勒索软件。

虽然 Zagala 运行了一个联盟计划，网络犯罪分子将分享他们的勒索软件利润，但他还使用他在北卡罗来纳州夏洛特市托管的许可服务器对 Thanos 恶意软件进行了许可。

该勒索软件菌株于 2022 年 2 月停止出现在 ID-Ransomware 提交中，勒索软件构建器于 2021 年 6 月在 VirusTotal 上泄露。

Thanos 勒索软件活动 (ID-Ransomware)
由于附属公司使用不同的加密扩展，一些 Thanos 勒索软件样本以前被标记为 Prometheus、Haron 或 Hakbit 勒索软件。然而，Recorded Future 的 Insikt Group 发现它们是同一种恶意软件。

“基于代码相似性、字符串重用和核心功能，Insikt Group 高度自信地评估，跟踪为 Hakbit 的勒索软件样本是使用 Nosophoros 开发的 Thanos 勒索软件构建器构建的，”Insikt Group说。

灭霸勒索软件生成器（已记录的未来）

根据今天的 DOJ 新闻稿，据称 Zagala 公开讨论了他的“客户”如何使用他的工具进行勒索软件攻击，“包括链接到有关伊朗国家资助的黑客组织使用灭霸攻击以色列公司的新闻报道。” （可能是 ClearSky 关于 MuddyWater 的 流沙行动的这份报告）。

2022 年 5 月，执法人员在采访了 Zagala 的一位亲戚后，将他与 Thanos 勒索软件操作联系起来，该亲戚使用 PayPal 账户从勒索软件操作中收取了 Zagala 的一些非法收益。

此人还向他们展示了存储在他手机中的联系信息，被告用于注册一些灭霸勒索软件恶意基础设施。

如果罪名成立，Zagala 将因企图入侵计算机而面临最高五年的监禁，并因串谋入侵计算机而面临五年监禁。