来自 资讯 2022-05-31 16:10 的文章

服务器防ddos_宝可梦剑盾游戏_怎么办

服务器防ddos_宝可梦剑盾游戏_怎么办

对最新勒索软件Locky进行了深入的技术研究。

Locky使用了所有"顶级"功能,如域生成算法、自定义加密通信、TOR/比特币支付、强大的RSA-2048+AES-128文件加密,可以加密超过160种不同的文件类型,包括虚拟磁盘,源代码和数据库。

我们在上个月对Locky家族进行了监控,发现了该恶意软件的第二个变种,该变种具有新功能和程序代码改进。Locky的作者在域生成算法中添加了一个新的硬编码种子,允许他们在俄罗斯PC上停用Locky。

Locky通过类似于Dridex僵尸网络的垃圾邮件传播。他们使用相似的文件名、混淆、电子邮件内容和下载URL的结构。

我们观察到了Locky的三个不同的活动版本,并在下面进行了描述。

下面是其中一封垃圾邮件的示例。这些电子邮件旨在让人们相信它们是从Nordstrom、Symantec和Crown Holdings等大公司发送的。

我们发现电子邮件附带不同的恶意文档(Word、Excel等),其中包括带有模糊Visual Basic脚本(VBS)的宏。恶意软件作者使用社会工程让人们启用默认禁用的宏。恶意代码包含autoopen()子文件,启用宏后,会触发VBS自动运行。

Locky的作者通过CallByName函数和有效字符串使用了不常见的模糊处理来生成VBS代码。

模糊处理很简单,与Dridex电子邮件活动中的模糊处理相同。下载URL为"加密"并硬编码为数组。

VBS在除臭后:

在第二次活动中,高防cdn和云防护区别,作者对脚本文件使用了更复杂的模糊处理,并在下载最终PE二进制文件之前添加了更多步骤。

模糊处理批处理文件:

最终Deobfousation Visual Basic脚本:

执行脚本和硬编码明文下载URL:

我们还发现了带有非常通用的模糊JavaScript下载程序的电子邮件Zip档案。

在这里,我们看到了与第二版活动相同的下载程序。但在这种情况下,,它刚刚用JavaScript语言重写。

这是除臭后的JavaScript:

下载和执行Locky恶意软件是上述三项活动的最后一步。

我们还发现了受感染文档和档案中的两种特定类型的下载URL。

域类型1

域类型1/1.1.exe

杀手杰夫.自由fr/2/2.2/2/2.exe

杀手杰夫.fr/2/2/2.exe

可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对1/1/1/1/1/1.2/1.1.1/1.1.exe

可能会对可能会对可能会对可能会对杀手杰夫的基利利利尔杰夫.自由杰夫.弗弗.自由。fr/2/2/2/2/2/2/2.exe

对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能会对可能/6.exe

avp-mech.ru/7/7.ex据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据据日日日日知知知知知知知知知知,2008 2008 2008 2008 2008 2008/09uuuuu8 H76uuuu8 767676767676767676767676767676767676767676767676767676767676767676767676767 f/7/7/7/7/6/6/6/6/6/6/6/6/6/6/6/6/6/6/65FG676/6/6/6/6/6/6/6/6昂利ne.com/system/logs/56y4g45gh45h

choobyta.com/system/logs/23f3rf33.exe

bitmeyenkartusistanbul.com/system/logs/87h754/

shop.havtoto.bget.ru/system/logs/45g456jhyfg

第二版活动中的恶意文档使用了一种非常特殊的Base64解码功能,该功能是用Visual Basic脚本编写的,我们在巴西的其他Banker/Banload/RAT恶意软件活动中也发现了该功能。

我们首先看到了Locky在没有PE包装器的情况下传播的样本,这很奇怪,因为恶意软件通常包含通用PE包装器,以避免AV检测。

以下是新感染国家的图表,每天(DD/MM/YYYY)。有三个高峰,代表针对不同地理位置的新活动。感染国家总数超过160个。

日期

计数

感染国家

18.02。2016年

18

巴西、越南、南非、加纳、立陶宛、保加利亚、科威特、克罗地亚、纳米比亚、德国、法国、西班牙、乌克兰、秘鲁、墨西哥、智利、厄瓜多尔、美国

19.02。2016年

24

菲律宾、印度、奥地利、黎巴嫩、韩国、泰国、斯洛文尼亚、捷克共和国、匈牙利、摩尔多瓦、比利时、意大利、希腊、罗马尼亚、荷兰、印度尼西亚、波兰、摩洛哥、爱尔兰、肯尼亚、玻利维亚、哥斯达黎加、牙买加、哥伦比亚

20.02。2016年

2

马来西亚、巴拉圭

21.02。2016年

1

阿根廷

22.02。2016年

4

塞尔维亚、卢森堡、新加坡、孟加拉国

23.02。2016年

2

芬兰、波多黎各

2016年2月24日

12

斯里兰卡、沙特阿拉伯、文莱达鲁萨兰国、巴基斯坦、柬埔寨、英国、台湾、危地马拉、库拉索岛、加拿大、葡萄牙、日本

25.02。2016年

4

波斯尼亚和黑塞哥维那、阿塞拜疆、突尼斯、斯洛伐克