一款偽裝成Windows啟用工具的在野惡意軟體分析

摘要： 近期，研究人員發現了一款通過外部網路裝置傳播的新型勒索軟體，這一勒索軟體活動從8月7號開始一直持續到現在，並且一直偽裝成Windows啟用工具來進行惡意活動。 根據研究人員的分析，這款勒索軟體不僅配備有多種隱藏功能，而且還可以對資料進行加密。當這款勒索軟體成功執行之後，...

近期，研究人員發現了一款通過外部網路裝置傳播的新型勒索軟體，這一勒索軟體活動從8月7號開始一直持續到現在，並且一直偽裝成Windows啟用工具來進行惡意活動。

根據研究人員的分析，這款勒索軟體不僅配備有多種隱藏功能，而且還可以對資料進行加密。當這款勒索軟體成功執行之後，它會通過各種引數來實現其不同的惡意功能。除此之外，這款勒索軟體還包含一個隱藏表單（按下F8鍵可檢視），配置頁面可以讓使用者配置不同的資訊，其中包含的內容如下：

1.   檔案的加密金鑰；
2.   包含勒索資訊的檔名；
3.   勒索資訊；
4.   使用者的個人ID；
5.   額外檔案的字尾名；

除此之外，它還包含了一個“排除路徑”，這條路徑可以指定需要跳過加密的資料夾，排除路徑提供的選項引數包含了預設的Windows檔案目錄以及程式安裝目錄。

加密金鑰的獲取地址為“cosonar.mcdir.ru/get.php”，如果網路問題導致無法線上獲取加密金鑰，它將會使用預設的加密金鑰和預設的使用者ID來完成檔案的加密操作。勒索軟體在執行加密操作時，使用的是開原始碼庫CryptoPP和AES加密演算法。加密成功之後，它會在所有目標檔案的字尾名後面新增一個“[.]keypass”字尾，並要求使用者在72小時之內支付300美金才可以解密檔案。

後話

勒索軟體攻擊是全球使用者都需要面臨的問題，作為一種有利可圖的網路犯罪模式，攻擊者還會在勒索軟體中新增蠕蟲病毒的感染和傳播功能，這樣就能夠增加勒索軟體在網路上的傳播能力了。

* 參考來源： ofollow" rel="nofollow,noindex" target="_blank">gbhackers ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM