来自 CC防护 2022-05-10 15:50 的文章

ddos防御工具_防服务器ddos_无限

ddos防御工具_防服务器ddos_无限

Reveton勒索软件已经危险地发展

最新一代的Reveton,臭名昭著的"警察"锁屏/勒索软件,瞄准了新的黑市业务。作者通过添加最新版本的小马窃取软件,将这一备受鄙视的恶意软件的赌注从一个只有锁屏的版本提升到一个功能强大的危险密码和凭证窃取软件。此添加影响110多个应用程序,并将您的计算机变成僵尸网络客户端。

Reveton还从5个加密货币钱包中窃取密码。银行业务模块以17家德国银行为目标,取决于地理位置。在所有情况下,Reveton都包含一个下载额外密码窃取程序的链接。最常见的感染是通过著名的漏洞工具包FiestaEK、NuclearEK、SweetOrangeEK等进行的。

Reveton使用当今恶意软件领域最好的密码/凭证窃取者之一。小马的作者们进行了深入的逆向工程工作,vb防御ddos,几乎所有密码都被解密为纯文本形式。恶意软件可以破解或解密以各种形式存储的相当复杂的密码。

盗贼包括17个主要模块,如操作系统凭据、FTP客户端、浏览器、电子邮件客户端、即时消息客户端、在线扑克客户端等,以及140多个子模块。

深层系统信息、屏幕保护程序密码、LSA本地、Windows密码和证书,RAS、ASP/.NET凭据、组密码、代理、WinSocks、WinInet管道等

32位、防弹FTP、BitKinex、ClassicFTP、咖啡杯、CoreFTP、CuteFTP、DOpus、ExpanDrive、FAR、FFFTP、FTPCommander、FTPControl、FTPExplorer、FTPRush、FTPUploader、FileZilla、FlashFXP、Fling、FreeFTP、Frigate3、LeapFTP、NetDrive、SecureFX、SmartFTP、SoftX、,TurboFTP、UltraFXP、WS_FTP、WebDrive、WebSitePublisher、WinSCP、Windows/Total Commander

CiscoVPN、FreeCall、PC远程控制、远程桌面连接、WinVNC

AIM、AIMPRO、Astra、CamFrog、Digsby、Excite、Faim、GTalk、Gaim、Gizmo、ICQ2003、ICQ99b、IM2、JAJC、LiveMessenger、MSN、Miranda、MySpace、Odigo、PSI、PalTalk、Pandion、Pidgin、QIP、,cc防御验证,QIPOnline、R&Q、SIM4、Trillian、Vyppressauvis、Yahoo

拨号女王、EDialer、FDialer、MDialer、VDialer

下载主机、FlashGet、GetRight、互联网下载加速器

888Poker、AbsoluteCommon、AbsolutePoker、CakePoker、FullTiltPoker、PartyPoker、Poker Stars、TitanPoker、UltimateBetPoker

Chrome、Firefox、Flock、IE、Opera、Safari、SeaMonkey、,Thunderbird、+浏览器历史记录、浏览器袜子、系统袜子

Becky、Eudora、ForteAgent、Gmail、GroupMailFree、IncremidMail、MailCommander、Outlook、Poppeper、PocoMail、Scribe、TheBat、Windows Mail、Mail.ru

加密货币模块窃取最广泛使用的钱包的密码。恶意软件可以关闭QT钱包并在下次执行后模拟登录屏幕。

*-QT钱包、军械库钱包、Electrum钱包、多位钱包、多道奇钱包、后代钱包、比特币、黑币、暗币、道奇币、莱特币、VertCoin

银行列表基于地理位置。我们的版本包括17家德国银行。本模块搜索浏览器历史记录和cookie文件。

bank1saar.de、berliner-bank.de、comdirect.de、commerzbanking.de、cortalconsors.de、deutsche-bank.de、dkb.de、bawagpsk.com、fiducia.de、flessbank.de、gecapital.de、haspa.de、hypovereinsbank.de、norisbank.de、psd、psd-bank.de、,xdos和ddos防御,如何搭建高防cdn,sparda.de

这部分Reveton恶意软件也已升级。作者将程序分成多个线程,更改加密,将有效负载保存到注册表,并重新创建与C&C服务器的通信。

Reveton还准备了另一个从Papras家族下载的密码窃取程序。此恶意软件不如小马有效,但包含强大的AV杀戮/禁用功能。

我们在Reveton有效负载的深处发现了2个硬编码md5哈希。第一个用于验证生成的用户ID。如果匹配,系统不会发送有关受感染计算机的信息。这可能会在测试或开发恶意软件时保护作者。不幸的是,UserID计算算法对于散列破解来说太复杂了。UsedID是({ComputerName}+{EnumDisplayDevices}+{HDD SerialNumber})XOR 029Ah

的MD5哈希。第二个哈希用于验证插入的解锁密钥(ukash/paysafe代码)。如果插入密钥的MD5哈希与硬编码密钥相同,防御ddos代码,则可以终止Reveton。我们称之为"主解锁密钥散列"。

尝试破坏散列,并帮助保存受感染的计算机。

*您可以尝试查找存储所有被盗密码的RUNDLL32.EXE-*-F.txt文件。

分析样本:

209B606203E60B9C3ABDB27D7F93A2D8A60A87C4AB2E7749A9522C17F451F24998A47D1ECB8C80E3AC5BAF743E87CC3546322335EDF89CE4A9AB1EF5420F69

针对锁屏或CryptLocker恶意软件的最佳保护是频繁备份所有重要文件、文档和照片。最安全的方法是备份到在线存储或云,因为某些恶意软件会加密所有连接设备、本地网络驱动器和NAS服务器上的数据。你可以使用我们的avast!例如,备份解决方案。

如我们所示,前Reveton型号的高额利润,即在用户支付赎金后解锁受感染的计算机,是不够的。恶意软件作者决定进入一个新的黑人商业领域。如今,各种系统的密码和加密货币钱包是一种非常有利可图的商品。一些密码(FTP、电子邮件、IM…)非常适合传播其恶意软件和构建更强大的僵尸网络。

avast!恶意软件分析人员正在准备一份白皮书,其中包含大量深入的技术和逆向细节。请继续收看!