中文字幕在线观看,亚洲а∨天堂久久精品9966,亚洲成a人片在线观看你懂的,亚洲av成人片无码网站,亚洲国产精品无码久久久五月天

Rakhni特洛伊木馬改造后"變身"勒索軟件

2018-07-10    來源:IT運維網(wǎng)

容器云強勢上線!快速搭建集群,上萬Linux鏡像隨意使用

      Rakhni特洛伊木馬最早于2013年被首次發(fā)現(xiàn),后經(jīng)過黑客的不斷改造,具備了新的能力。黑客們使用Rakhni勒索軟件加密或礦工感染受害者。 該惡意軟件主要是在俄羅斯感染受害者,通過電子郵件垃圾郵件活動進行分發(fā),垃圾郵件中帶有PDF文件,一旦受害者點擊,它就會啟動惡意可執(zhí)行文件。

Rakhni特洛伊木馬經(jīng)過改造用于勒索軟件加密和感染礦工

      Rakhni特洛伊木馬(Trojan-Ransom.Win32.Rakhni)于2013年首次發(fā)現(xiàn),現(xiàn)在讓黑客們使用該勒索軟件加密或礦工感染受害者。

“[犯罪分子]無論如何都會試圖從受害者那里獲益:直接勒索金錢(加密)或未經(jīng)授權(quán)使用自己需要的用戶資源(礦工), 如果我們談?wù)揜akhni,即使前兩種方式無效,它也會采用第三種方式 - 它將受害者置于惡意軟件(網(wǎng)絡(luò)蠕蟲)的分發(fā)鏈中。 我真的希望它不會成為一種趨勢。“

      研究人員說,勒索軟件的贖金票據(jù)包含一封攻擊者的電子郵件和付款“截止日期”。 “此外,贖金票據(jù)警告受害者,使用第三方解密器可能會損壞文件,甚至原始解密器也無法解密它們, 贖金票據(jù)的最后一句通知受害人,所有請求都將由自動系統(tǒng)處理。”

      同時,如果不存在加密貨幣文件夾,則特洛伊木馬會下載一個礦工模塊并生成一個VBS腳本,其中包含用于挖掘Monero或Dashcoin加密貨幣的命令。

“為了將礦工偽裝成一個值得信賴的進程,攻擊者用虛假的微軟公司證書簽名并調(diào)用svchost.exe,”

      最后,如果機器沒有加密貨幣文件夾并且只有一個邏輯處理器(而不是兩個),則下載程序會跳轉(zhuǎn)到其蠕蟲組件。 這種最后的方法允許它使用類似蠕蟲的功能在本地網(wǎng)絡(luò)上的所有計算機上復(fù)制自身。

      “作為其最后一項行動之一,下載者試圖將自己復(fù)制到本地網(wǎng)絡(luò)中的所有計算機上, 為此,它調(diào)用系統(tǒng)命令'net view / all'將返回所有共享,然后特洛伊木馬創(chuàng)建包含具有共享資源的計算機名稱的list.log文件。”

Rakhni特洛伊木馬通過郵件以PDF形式傳播

      該惡意軟件主要通過電子郵件垃圾郵件活動進行分發(fā),該惡意軟件主要是在俄羅斯感染受害者。 研究人員檢查的網(wǎng)絡(luò)釣魚電子郵件包含虛假的公司財務(wù)文件,導(dǎo)致他們相信犯罪分子的主要目標(biāo)是公司。

      打開電子郵件附件后,系統(tǒng)會提示受害者編輯電子郵件聲稱的嵌入式PDF文件。 一旦受害者點擊“PDF”,它就會啟動惡意可執(zhí)行文件。

      執(zhí)行后,下載程序(一個用Delphi編寫的可執(zhí)行文件)顯示一個消息框,其中包含一個聲稱來自Adobe的錯誤文本 - 讓受害者偏離懷疑他們已被感染。

“為了隱藏惡意軟件在系統(tǒng)中的存在,惡意軟件開發(fā)人員使他們的創(chuàng)建看起來像Adobe Systems的產(chǎn)品, 這反映在圖標(biāo),可執(zhí)行文件的名稱和使用Adobe Systems Incorporated這個名稱的假數(shù)字簽名中。”

      根據(jù)研究人員的說法,一旦下載,惡意軟件的決定就是根據(jù)系統(tǒng)上加密錢包(比特幣數(shù)據(jù)文件夾,或%AppData%\ Bitcoin)的存在來下載加密器或采礦者。

      如果存在這樣的文件夾,則下載程序決定下載加密程序。 同時,如果文件夾不存在且機器有兩個以上的邏輯處理器,則下載礦工。

“邏輯處理器的數(shù)量是一個抽象,顯示計算機能夠執(zhí)行多少并行任務(wù), 據(jù)說,犯罪分子認(rèn)為,如果被感染的機器'足夠強大'(即它有超過2個邏輯處理器),那么在這個硬件上挖掘加密貨幣比從其擁有者那里勒索貨幣更有利可圖。”

      如果存在此類加密貨幣文件夾,則特洛伊木馬會將受密碼保護的存檔下載到包含加密模塊的啟動控制器(C:\ Documents and Settings \ username \ Start Menu \ Programs \ Startup)。

      研究人員表示,cryptor可執(zhí)行文件的名稱為taskhost.exe。 有趣的是,它只會在系統(tǒng)閑置至少兩分鐘后才開始工作,之后可執(zhí)行文件將加密一組文件擴展名并將其更改為.neitrino。

      在每個加密目錄中,加密器然后使用勒索軟件消息創(chuàng)建MESSAGE.txt文件。

      研究人員表示,Rakhni木馬多年來一直在不斷變化,這種獨特的能力只是最新的。 多年來,惡意軟件編寫者還調(diào)整了特洛伊木馬以改變獲取密鑰的方式(從本地生成的密鑰到從命令和控制服務(wù)器接收的密鑰),以及他們的惡意軟件分發(fā)方法(從垃圾郵件到遠程執(zhí)行方法)。

來源:安全加

標(biāo)簽: 安全 電子郵件 服務(wù)器 腳本 網(wǎng)絡(luò)

版權(quán)申明:本站文章部分自網(wǎng)絡(luò),如有侵權(quán),請聯(lián)系:west999com@outlook.com
特別注意:本站所有轉(zhuǎn)載文章言論不代表本站觀點!
本站所提供的圖片等素材,版權(quán)歸原作者所有,如需使用,請與原作者聯(lián)系。

上一篇:安全專家曝新銀行木馬 竊取證書、密碼等敏感信息

下一篇:非接觸式人體振動體征監(jiān)測技術(shù)首次亮相