日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
流氓會(huì)武功:這款勒索軟件不僅能勒索,還能DDoS

一款名為 FireCrypt 的勒索軟件正悄然來襲。它不僅具備一般勒索軟件的特性,會(huì)將受感染的系統(tǒng)文件惡意加密。還會(huì)試圖利用受感染者機(jī)器,向其源碼中硬編碼的 URL 地址,發(fā)起微弱的 DDoS 攻擊。

這個(gè)新型勒索軟件,是由 MalwareHunterTeam (惡意軟件獵人小組)發(fā)現(xiàn)的。 以下是 MalwareHunterTeam 和 Lawrence Abrams 提供的對(duì)該惡意軟件的分析報(bào)告。

作為勒索軟件構(gòu)建套件的 FireCrypt

惡意軟件通常通過從源碼編譯生成,或者通過軟件來自動(dòng)生成,自動(dòng)化軟件會(huì)采用某些輸入?yún)?shù),并以此來定制惡意軟件的有效載荷。

后者在業(yè)內(nèi),被稱為惡意軟件構(gòu)建器,一般都為 命令行 應(yīng)用程序或 GUI 的工具。

而 FireCrypt 勒索軟件的作者,則使用的是命令行應(yīng)用程序。在使用過程中,該應(yīng)用程序會(huì)自動(dòng)將 FireCrypt 的樣本文件放在一起,允許他修改基本設(shè)置,而不需要再使用笨重的 IDE,重復(fù)編譯源碼了。FireCrypt 的構(gòu)建器,被命名為 BleedGreen(見下文),它允許 FireCrypt 作者,給勒索軟件自定義名稱,并使用個(gè)性化圖標(biāo),來生成一個(gè)獨(dú)特的勒索軟件可執(zhí)行文件。與其他勒索軟件構(gòu)建器相比,BleedGreen 算是一個(gè)比較低端的構(gòu)建器。與其他類似的構(gòu)建器相比,它的自定義選項(xiàng)少的可憐。例如某些類似的構(gòu)建器,還會(huì)有比特幣收付款地址,贖金值,電子郵件聯(lián)系地址等設(shè)置選項(xiàng)。

BleedGreen 除了可以將生成的可執(zhí)行文件 EXE ,偽裝為 PDF 或 DOC 的圖標(biāo)外,它還會(huì)對(duì)勒索軟件的二進(jìn)制文件做細(xì)微的改動(dòng),以便在每次編譯時(shí),都能生成一個(gè)具有不同哈希值的文件。

該技術(shù)經(jīng)常被惡意軟件開發(fā)人員,用來創(chuàng)建所謂的“多態(tài)性惡意軟件”,這樣做的目的就是盡可能的躲避殺毒軟件的查殺。根據(jù)MalwareHunterTeam 的介紹,“BleedGreen 構(gòu)建器是一款非常低端和基礎(chǔ)的勒索軟件構(gòu)建器,因此它并不能真正意義上實(shí)現(xiàn)免殺?!?/p>

不過從這也可以看出,F(xiàn)ireCrypt 的作者還是具備一定的惡意軟件開發(fā)經(jīng)驗(yàn)的,而不是一個(gè)只會(huì)從 GitHub 下載開源勒索軟件的腳本小子。

FireCrypt 感染過程

能否將 FireCrypt 感染給目標(biāo)系統(tǒng),取決于勒索軟件的分發(fā)者能否成功誘使目標(biāo)用戶啟動(dòng)生成的 EXE 可執(zhí)行文件。

一旦生成的惡意 EXE 文件被成功觸發(fā),那么 FireCrypt 將會(huì)殺死計(jì)算機(jī)的任務(wù)管理器(taskmgr.exe)進(jìn)程,并使用 AES-256 加密算法,對(duì)列表中的 20 個(gè)文件類型進(jìn)行加密。

所有被加密文件的原始文件名和擴(kuò)展名都將附加“.firecrypt”后綴。例如,名為 photo.png 的文件,將被重命名為 photo.png.firecrypt。

一旦文件加密過程結(jié)束,F(xiàn)ireCrypt 就會(huì)在桌面,彈框警告用戶按其要求支付相應(yīng)的贖金,以此來換取文件的解鎖。

據(jù) MalwareHunterTeam 介紹說,該贖金彈框與去年 10月14日 小組發(fā)現(xiàn)的一款勒索軟件的贖金彈框幾乎是一樣的。

當(dāng)時(shí)發(fā)現(xiàn)該勒索軟件時(shí),好像還處于開發(fā)階段并未成型。直到今年才發(fā)現(xiàn),有受感染機(jī)器的文件被加密。

唯一不同的是,去年發(fā)現(xiàn)的那款勒索軟件在贖金彈框頂部放置了一個(gè)類似 logo 的標(biāo)志,而 FireCrypt 卻移除了這個(gè)標(biāo)志。

但是,通過仔細(xì)檢查 Deadly 的源代碼,MalwareHunterTeam 發(fā)現(xiàn)這兩款勒索軟件,使用的電子郵件和比特幣地址相同,這表明兩者之間緊密相關(guān),F(xiàn)ireCrypt 極有可能是 Deadly 這款勒索軟件的升級(jí)版。

DDoS 之用垃圾文件填充你的硬盤驅(qū)動(dòng)器

除了加密受感染用戶文件并向用戶索要贖金外, FireCrypt 還會(huì)調(diào)用其源碼包含的一個(gè)函數(shù),該函數(shù)會(huì)持續(xù)不斷地連接到遠(yuǎn)程的一個(gè) URL 地址,下載一些垃圾文件,并自動(dòng)將其保存在你硬盤的 %Temp% 文件下,同時(shí)命名為 [random_chars]-[connect_number].html。

如果用戶不知道這個(gè)功能,F(xiàn)ireCrypt 將會(huì)在短時(shí)間內(nèi),將垃圾文件迅速填充滿你的 %Temp% 文件夾。

當(dāng)前該版本的 FireCrypt 勒索軟件,將會(huì)從遠(yuǎn)程連接并下載 http://www.pta.gov.pk/index.php 上的內(nèi)容,該 URL 為巴基斯坦電信管理局的官網(wǎng)地址。當(dāng)前,我們無法使用勒索軟件的構(gòu)建器修改此 URL。

FireCrypt 的作者將此功能稱為 “DDoSer”,他必須感染成千上萬臺(tái)的機(jī)器,才有可能對(duì)巴基斯坦電信管理局的官網(wǎng)發(fā)起 DDoS 攻擊。此外,所有受感染的計(jì)算機(jī),都必須處于連網(wǎng)狀態(tài),只有這樣才能參與到其發(fā)起的 DDoS 的攻擊。

截至這篇文章發(fā)布,還沒有發(fā)現(xiàn)有效方法來恢復(fù)這些被加密的文件。因此,一旦你感染了這種勒索軟件,想要在短時(shí)間內(nèi)恢復(fù)文件,則可能不得不按要求支付 500 美元 的贖金來解鎖。相反,如果你實(shí)在不愿意或無力支付這筆贖金。那么,請務(wù)必保留好這些被加密文件的副本,或許不久以后就會(huì)有人放出它的解密器。

定位文件擴(kuò)展名:

 
 
 
 
      
  
  
  
  1. .txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent 
    2.

與 FireCrypt 勒索軟件相關(guān)聯(lián)的文件:

 
 
 
 
      
  
  
  
  1. %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable  
    2.   
  
  
  
  2. %Desktop%\[random_chars]-READ_ME.html - Ransom Note  
    3.   
  
  
  
  3. %AppData%\SysWin32\files.txt - List of Encrypted Files  
    4.   
  
  
  
  4. %Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files  
    5.   
  
  
  
  5. %Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack 
    6.

與 FireCrypt 勒索軟件相關(guān)的哈希值:

leedGreen 構(gòu)建器(當(dāng)前 VirusTotal 掃描結(jié)果顯示,在 57 款殺毒軟件檢測中,只有 2 款殺毒軟件,認(rèn)為它是惡意軟件):

 
 
 
 
      
  
  
  
  1. SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d 
    2.

一個(gè) FireCrypt 勒索軟件二進(jìn)制示例(當(dāng)前 VirusTotal 掃描結(jié)果顯示,在 57 款殺毒軟件檢測中,只有 13 款殺毒軟件,認(rèn)為它是惡意軟件):

 
 
 
 
      
  
  
  
  1. SHA-256: d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f 
    2.

電子郵件地址和付款聯(lián)系人:

EMAIL: gravityz3r0@sigaint.org


文章標(biāo)題:流氓會(huì)武功:這款勒索軟件不僅能勒索,還能DDoS
文章分享:http://www.dlmjj.cn/article/djdhsjg.html