首页 >> 综合 >> 娱乐经典场攻略大发,“made in China”最强背锅,勒索软件FakeCry“各种冒牌”有何目的?

娱乐经典场攻略大发,“made in China”最强背锅,勒索软件FakeCry“各种冒牌”有何目的?

发布时间:[ 2020-01-11 14:36:25]
[摘要] 卡巴斯基表示,fakecry通过父进程ezvit.exe在m.e.doc目录中作为ed.exe运行,也就是说,这款勒索软件的传递机制与notpetya一致。冒牌货可加密170余种文件类型研究人员表示,fakecry可以加密大约170种文件类型。fakecry的勒索信与wannacry类似。与此同时,另一勒索软件fakecry也在感染medoc用户。约90个被攻击的组织机构收到了fakecry勒索软

娱乐经典场攻略大发,“made in China”最强背锅,勒索软件FakeCry“各种冒牌”有何目的?

娱乐经典场攻略大发,e安全7月9日讯卡巴斯基实验室指出,notpetya并不是上周唯一利用m.e.doc更新机制感染目标的恶意软件:山寨版wannacry勒索软件利用同样的渠道进行传播。

“冒牌”得“有模有样”

6月27日感染m.e.doc用户的勒索软件被称为“fakecry”,也就是notpetya爆发当天。卡巴斯基表示,fakecry通过父进程ezvit.exe在m.e.doc目录中作为ed.exe运行,也就是说,这款勒索软件的传递机制与notpetya一致。

fakecry用.net编写,并使用了“wncry”字符串,显然是想跟wannacry沾边,同样,其中还存在一个“被遗忘”的pdb路径。

中国躺枪

fakecry还伪装自己是“中国制造”,但这种冒充行为被研究人员识破。

上个月,一些安全研究人员认为,wannacry的幕后黑手是朝鲜黑客,而也有专家认为,wannacry不是朝鲜黑客的风格。flashpoint公司对28封wannacry勒索信进行语言分析后认为,攻击者中文流利,似乎还懂英文。

wannacry通过“永恒之蓝”(eternalblue)windows漏洞利用进行传播,而fakecry使用丢弃器(dropper),其作为wc.exe在磁盘保存。该dropper可以执行几种命令:

丢弃勒索软件组件;

开始加密,

开始解密;

密钥(加密公共密钥和机密私钥);

演示(借助硬编码rsa密钥加密或解密)。

另一方面,这款勒索软件的组件能生成rsa-2048密钥对,加密/解密文件,加密/解密磁,盘,并删除被感染设备上的卷影副本(shadow copy)。执行时,这款恶意软件首先会删除卷影副本,之后初始化密钥,创建加密文件列表,处理加密文件,并显示勒索窗口。

冒牌货可加密170余种文件类型

研究人员表示,fakecry可以加密大约170种文件类型。如果使用具有针对性的文件,攻击者还可以杀死进程,解锁文件。这款软件使用handler viewer sysinternals工具完成任务。fakecry还包含仅含有图像文件(jpg、jpeg、png、tif、gif和bmp)的扩展列表,攻击者可利用该列表免费解密。

fakecry的勒索信与wannacry类似。fakecry索要的赎金为0.1比特币(约1042元),并在所有感染中使用相同的钱包号码(迄今为止,此钱包收到7笔赎金)。这款勒索软件使用tor命令与控制服务器。

还会不会有别的fakecry?

卡巴斯基指出,expetr/petya不是唯一通过medoc更新传播的恶意软件。与此同时,另一勒索软件fakecry也在感染medoc用户。约90个被攻击的组织机构收到了fakecry勒索软件,这些组合机构几乎均位于乌克兰。

乌克兰当局本周宣布突击调查了m.e.doc服务器,他们担心notpetya背后的网络犯罪分子仍在使用这些资源。乌克兰官员发布官方公告建议,用户关闭所有运行m.e.doc软件的电脑,及时修改密码和电子数字签名。

考虑到这两款恶意软件家族同时通过相同的媒介感染目标,这表明,这两起活动可能有关联。但是,安全研究人员尚未明确将两者关联起来。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

@e安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考。

新版ued体育竞猜官网

© Copyright 2018-2019 9tfh27.com 大陇新闻网 Inc. All Rights Reserved.