一款偽裝成Windows啟用工具的在野惡意軟體分析
近期,研究人員發現了一款通過外部網路裝置傳播的新型勒索軟體,這一勒索軟體活動從8月7號開始一直持續到現在,並且一直偽裝成Windows啟用工具來進行惡意活動。
根據研究人員的分析,這款勒索軟體不僅配備有多種隱藏功能,而且還可以對資料進行加密。當這款勒索軟體成功執行之後,它會通過各種引數來實現其不同的惡意功能。除此之外,這款勒索軟體還包含一個隱藏表單(按下F8鍵可檢視),配置頁面可以讓使用者配置不同的資訊,其中包含的內容如下:
1. 檔案的加密金鑰; 2. 包含勒索資訊的檔名; 3. 勒索資訊; 4. 使用者的個人ID; 5. 額外檔案的字尾名;
除此之外,它還包含了一個“排除路徑”,這條路徑可以指定需要跳過加密的資料夾,排除路徑提供的選項引數包含了預設的Windows檔案目錄以及程式安裝目錄。
加密金鑰的獲取地址為“cosonar.mcdir.ru/get.php”,如果網路問題導致無法線上獲取加密金鑰,它將會使用預設的加密金鑰和預設的使用者ID來完成檔案的加密操作。勒索軟體在執行加密操作時,使用的是開原始碼庫CryptoPP和AES加密演算法。加密成功之後,它會在所有目標檔案的字尾名後面新增一個“[.]keypass”字尾,並要求使用者在72小時之內支付300美金才可以解密檔案。
後話
勒索軟體攻擊是全球使用者都需要面臨的問題,作為一種有利可圖的網路犯罪模式,攻擊者還會在勒索軟體中新增蠕蟲病毒的感染和傳播功能,這樣就能夠增加勒索軟體在網路上的傳播能力了。
* 參考來源: ofollow" rel="nofollow,noindex" target="_blank">gbhackers ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM