表情包 以不断改变其有效负载和感染媒介(例如垃圾邮件,恶意文档甚至是传染媒介)而闻名 恶意JS文件。它危害了互联网上的大量网站。 表情包 自2014年以来,恶意软件运动就一直存在。它经常采用不同的技术和变体来间隔时间,以在受害者的计算机上传播恶意软件。大多数网站都是真实的,但以某种方式欺骗了Emotet。但是这次,这些网站中的一些可以看到 甘达蟹 勒索软件V 5.1 一段时间。
有效负载是使用VBA宏通过受害者计算机上的恶意文档下载的。来自宏的PowerShell脚本连接到受感染的网站,并从URL下载了GandCrab 勒索软件 。可以观察到,同一网站被用于其他恶意活动,并且随着时间的流逝而达到不同的目的。
感染媒介:
技术分析:
Microsoft Office Doc文件名为“紧急通知.doc”,并且只有文本“紧急通知”。
打开文件后,它要求启用宏以执行下载任务。
巨集:
恶意宏包含3个模块和一种形式。名为“ f”的表单包含混淆的PowerShell数据,并且具有随机名称的3个模块(如cBbOFw,BJXTRQZOY,lC0gFL58m)包含执行去混淆的PowerShell脚本的代码。
形成:
可以通过简单地将“ 5820.5840869546”替换为null(即删除‘5820.5840869546’ from the string)
输出:
该输出以开头的三个前字符“ P”,“ o”和“ w”为开头。因此,这形成了初始单词PowerShell,然后由love()函数使用,并被执行以下载和启动有效负载。
执行完此PowerShell脚本后,将GandCrab负载即putty.exe下载到受害者计算机的“ C:\ Windows \ Temp”目录中,并执行了该操作。
甘达蟹 有效负载:
在执行时,它加密所有文件并显示GandCrab壁纸。从勒索信息中可以明显看出,有效载荷是GandCrab V 5.1勒索软件。
甘达蟹 在受害人的计算机上找到AV进程,并试图杀死其他正在运行的进程,例如SQL数据库服务器,以确保对重要文件进行加密。然后,GandCrab使用Salsa20加密算法加密所有文件,并且此Salsa20密钥使用RSA-2048加密,并在数据之后附加到文件中。没有私钥解密数据是不可行的。据观察,它收集了与用户有关的所有数据,例如用户名,计算机名,工作组,IP地址。此数据使用RC4加密算法加密并发送到C&C server.
甘达蟹 v5勒索软件已开始使用Task Scheduler ALPC漏洞来获取被感染计算机上的系统特权。
加密后,它要求使用破折号/比特币加密货币700美元;矿工费用/佣金也将收取10%的费用。过去,如果受害者无法支付全部赎金,他/她将获得一定的折扣以解密文件。
可以观察到,最终,GandCrab尝试与具有特定URL形成算法的大量受害域进行连接,如所讨论的那样。 先前 。此行为显示与 表情包 战役.
几个小时后,同一域开始提供色情网络钓鱼内容。
危害指标:
Doc文件(紧急notice.doc):64F3F3CC1E121B295DA1FF74CC180473
Exe档案(Putty.exe):5B1B6AF59E29D9A2AA120277CAB14D0C
预防措施:
- 不要打开来自未知来源的电子邮件。
- 不要下载从不可信来源收到的附件。
- 在单击邮件中提到的URL之前,请验证发件人的电子邮件ID。
- 默认情况下不启用宏/编辑模式。
我们建议用户应用最新的Microsoft更新程序包并保持其防病毒最新 具有有效的电子邮件保护。
主题专家
Jayesh Kulkarni,Amit Gadhave |快速修复安全实验室
没意见