来自 资讯 2022-05-30 20:50 的文章

ddos清洗_防御服务器租用_秒解封

ddos清洗_防御服务器租用_秒解封

高效Cerber勒索软件通过网络钓鱼电子邮件传播,要求超过700美元的赎金

Cerber勒索软件是由专业网络罪犯开发的高效勒索软件系列。幸运的是,即使是专业的网络罪犯也会犯错误——比如错误配置服务器。Twitter用户和研究员@Racco42注意到了这个错误。通过这一错误配置,我们能够更仔细地查看他们的统计数据,并了解他们的目标和非目标。

下面有更多信息,cdnddos防御,但让我们先看看Cerber是如何工作的。

Cerber与大多数勒索软件一样,通过包含宏的文档传播。这些文档通常以附件的形式在网络钓鱼电子邮件中发送,伪装成发票或其他类型的重要文档。

乍一看,宝塔cc4层防御,我们可以看到此文档包含一个宏下载程序,如果你仔细看一下,你会发现下载的二进制文件属于Cerber勒索软件。

整个VBA文件几乎有100KB,但在删除了不必要的代码之后,这只是为了使脚本不可读,并使试图分析它的人感到困惑。脚本下载并运行勒索软件的脚本不足7KB。

让我们看看下载的.exe文件。结构显示我们正在处理NSIS安装程序。像7-zip这样的归档程序可以打开此归档文件,一旦打开,我们就会看到归档文件中的文件列表。

从上面的列表中可以看到,有一些小的诱饵图像、一个dll库和一个名为"Dontknow.tz"的二进制文件。dll文件具有经典注入器的功能。它创建一个挂起的进程,取消其可执行部分的映射,在同一地址分配新的内存块,在新创建的进程中写入未打包的恶意软件二进制文件,并执行它。

当我们将未打包的二进制文件加载到调试器中时,我们可以快速获得存储并编码在二进制文件中的配置。

配置文件为JSON格式,描述了哪些文件类型应该被列入黑名单(即哪些文件不应该被勒索软件加密),多级ddos防御策略,哪些扩展应该被加密(493种不同的扩展类型,主要是媒体文件、数据文件、,和文档),恶意软件后端运行的隐藏服务的命令和控制(C&C)地址,应使用Tor网关。

启动可执行文件时,它开始加密过程,并在每个加密文件夹中创建两个文件,一个带有说明的.jpg文件和一个更高级的.hta文件,受害者可以在其中找到关于如何支付赎金的更多信息。

加密完成后,赎金软件需要通知其受害者,ddoscdn防御,以便他们支付赎金。Cerber不仅显示文本警报,还使用文本到语音功能反复播放以下消息:

例如,如果个人页面被阻止,可以通过单击单击此处按钮来刷新,该按钮调用updateUrl函数。

在下面的Javascript代码中,我们可以看到,代码可以将域从domain.onion.更改为通用顶级域,.top.

受害者还可以选择帮助文件的语言:

受害者证明自己是人类而不是机器人后,会收到个人比特币地址:

由于服务器配置错误,我们设法获得了恶意软件服务脚本的源代码。通过分析这些代码,我们获得了通常只有网络罪犯才能看到的统计数据。

这些统计数据以纯文本文件的形式存在,其中包含有关日期、IP地址、国家和用户代理的信息。我们还在包含黑名单IP范围、整个国家和几个特定用户代理字符串的文件中找到了条件。如果其中一个条件匹配,则不会提供恶意内容。

我们观察到其中一个域名在三个小时的短时间内提供Cerber勒索软件,并注意到统计文件中约有700行。然后,我们将所有IP地址标绘到地图上各自的位置——结果可以在下面的地图中看到。

正如您所看到的,Cerber的大部分点击都在欧洲,安全宝防御cc,其次是北美。世界上其他地方给我们展示了很少或根本没有点击率。

勒索软件通常极难解密,因为解密程序仅适用于嵌入或泄漏解密密钥的旧版本。在Cerber的例子中,旧版本可以通过使用bruteforce计算密码来解密。这在新版本的Cerber中是不可能的,因为它使用AES-265和RSA加密方法。

498c2d554a97af9f62ff247aa67bd7db7d15afc8c5e94d346b815f1d756b89e9 Cerber二进制

8B37FC8DD1C24AEC3463E2962F5FC84C5D32CAA4BC66B9D1B453F691EEE300下载程序

特别感谢我的同事Jaromir Horejsi在此分析上的合作。

Avadon勒索软件集团以亚洲为目标就在保险公司AXA宣布在法国放弃对勒索软件支付的支持一周后,该保险公司发起DDoS攻击和勒索软件。

安全专家分析目前正在锁定全球系统的最新勒索软件威胁。

了解美国财政部威胁黑客组织的意义得到朝鲜政府的支持。