防cc_防火墙防ddos攻击_原理

Windows中编写的自传播勒索软件批量攻击俄语国家

最近，俄语国家的许多用户收到了类似以下消息的电子邮件。它说在"协议"中做了一些更改，受害者需要在签署文档之前检查这些更改。

该消息的附件中有一个zip文件，其中包含一个Javascript下载程序。附件包含一个简单的下载程序，它将几个文件下载到%TEMP%并执行其中一个文件。这些文件有.btc附件，但它们是常规可执行文件。

coherence.btc是GetMail v1.33 spoolsv.btc是Blat v3.2.1 lsass.btc是电子邮件提取器v1.21 null.btc是gpg可执行文件day.btc是iconv.dll，云盾网安DDoS云防御，运行gpg可执行文件tobi.btc所需的库是浏览器密码转储v2.5 sad.btc是从Sysinternals中删除的paybtc.bat是一个很长的Windows批处理文件，它会启动恶意进程本身及其复制

下载所有可用工具后，它会打开一个包含假定文档的文档以进行查看和签名。但是，该文档包含无意义的字符和一条英文消息，上面写着"此文档是在较新版本的MICROSOFT WORD中创建的"。

当用户查看上面显示的文档时，paybtc.bat有效负载已在后台运行并执行以下恶意操作：

所有加密文件的路径列表存储在UNIQUE.BASE文件中。从该文件中，将删除没有感兴趣路径的路径（这些路径包括以下路径：windows temp回收程序appdata roaming Temporary Internet com_uuuIntel Common Resources）。该文件使用cryptpay公钥加密并存储在UNIQUE.PRIVATE中。要解密此文件，攻击者需要cryptpay私钥，该私钥以前使用HckTeam公钥加密。这意味着只有Hckteam私钥的所有者才能解密UNIQUE.private。

当我们在测试环境中显示所有可用密钥的列表（--list keys参数）时，我们可以看到两个公钥；其中一个是硬编码在paybtc.bat文件（HckTeam）中的，第二个是最近生成的，并且对于特定计算机是唯一的（cryptpay）。

然后执行浏览器密码转储（重命名为ttl.exe）。被盗的网站密码存储在ttl.pwd文件中。

然后将ttl.pwd文件发送给攻击者，并将电子邮件地址和密码硬编码在bat文件中。

然后处理ttl.pwd。勒索软件搜索已知的俄罗斯电子邮件服务提供商存储的密码。这些网站包括auth.mail.ru、mail.ru、e.mail.ru、passport.yandex.ru、yandex.ru、mail.yandex.ru。当发现用户/密码组合时，cc防御哪家好，会将其存储以备将来使用。

GetMail程序稍后用于从用户帐户读取电子邮件并提取联系人。勒索软件会传播到这些联系人。

由于密码被盗，路由开启哪些ddos防御，ddos攻击防御系统，病毒会运行coherence.exe（重命名为GetMail实用程序），这是一个通过POP3检索电子邮件的实用程序。病毒只知道用户名和密码，而不知道域名，所以它需要几次尝试才能迫使所有主要的电子邮件提供商找到唯一丢失的信息。如果一封电子邮件是在暴力行凶时下载的，它会确认两件事：1.受害者使用的域，2.密码有效的事实。然后病毒下载最后100封电子邮件，提取"来自"电子邮件地址，并运行一个简单的命令过滤掉特定地址，cc防御保护，如自动电子邮件。

接下来，创建了10种电子邮件变体，每种都有一个自定义链接。

链接都指向不同的文件，但解压后，我们获得了原始的JavaScript下载程序。

该病毒现在有一封带有恶意链接的假电子邮件、发送地址以及发件人的电子邮件地址和密码。换句话说，它需要传播的一切。

传播是通过使用重命名为spoolsv.btc的程序Blat实现的。病毒的最后一步是删除所有临时文件——不再需要任何文件。

过去我们经常用勒索软件弄脏双手，勒索软件通常是一种高度模糊的可执行文件。这个案子完全不同。它之所以有趣，主要是因为它完全是在批处理文件中编写的，并且依赖于许多开源和/或免费提供的第三方实用程序。此外，通过电子邮件进行自我复制是我们通常看不到的！安全产品可检测此勒索软件并保护我们的用户免受其侵害。确保你的朋友和家人也受到保护。下载avast！现在免费杀毒。

Javascript下载程序（JS:downloader COB）

ee928c934d7e5db0f11996b17617851bf80f1e72dbe24cc6ec6058d82191174b

BAT勒索软件（BV:Ransom-E[Trj]）

FA54EC3C32F3FB3EA9B986E0CFD2C34F8D1992E55A317A2C15A7C4E8CA7BC4

此分析由Jaromir Horejsi和Honza Zika共同完成。

感谢您使用avast！并向您的朋友和家人推荐我们。有关所有最新新闻、娱乐和竞赛信息，请在Facebook、Twitter和Google+上关注我们。企业主–查看我们的企业产品。