遵义市| 富宁| 木垒| 金湖| 襄樊| 苍山| 盱眙| 清涧| 永年| 绵竹| 岚山| 东台| 城口| 彰武| 莘县| 江阴| 米泉| 安丘| 沁县| 下陆| 福鼎| 东兴| 绥德| 海南| 天水| 义县| 浦口| 澧县| 安达| 合水| 奈曼旗| 津南| 吉县| 枞阳| 黔江| 河津| 眉山| 唐县| 湖州| 钟山| 商洛| 陆河| 洪湖| 岫岩| 来宾| 磐石| 南和| 林芝镇| 浦东新区| 大洼| 玉门| 邯郸| 铜陵市| 兴安| 闽侯| 贡觉| 通辽| 丹寨| 红岗| 遂溪| 厦门| 枣强| 泾县| 通江| 福山| 拉孜| 喀喇沁左翼| 泊头| 垦利| 黄冈| 洛南| 乌拉特中旗| 通化市| 焦作| 长垣| 三江| 南郑| 南城| 思南| 鹰手营子矿区| 安平| 沙县| 长兴| 阿拉善左旗| 拉萨| 富宁| 沁水| 藤县| 武胜| 原阳| 西平| 青浦| 恭城| 班戈| 六枝| 澳门| 卓资| 安康| 肥城| 南宁| 顺昌| 丹阳| 芜湖县| 深泽| 疏勒| 惠来| 瓮安| 浮梁| 咸宁| 分宜| 巩义| 饶河| 永和| 武当山| 莱州| 迁西| 新民| 凌源| 本溪满族自治县| 包头| 孝昌| 兴海| 合江| 遂溪| 召陵| 大方| 海丰| 日土| 临高| 通江| 利辛| 钓鱼岛| 锡林浩特| 岑溪| 勐腊| 定兴| 龙州| 蒲江| 康保| 富蕴| 北海| 泰宁| 河池| 定日| 达坂城| 洪洞| 平谷| 察哈尔右翼后旗| 垦利| 黄龙| 霍城| 召陵| 泗阳| 新余| 平原| 汾西| 菏泽| 绥芬河| 栾城| 泰州| 肇东| 广平| 印台| 理塘| 宁县| 黄岛| 海盐| 太仓| 公主岭| 江永| 平湖| 丰宁| 会东| 化隆| 桓台| 万荣| 嘉祥| 海城| 绩溪| 阳高| 岚县| 克拉玛依| 加格达奇| 巩留| 突泉| 正定| 江都| 惠来| 怀安| 临安| 海林| 武宣| 盐山| 黄岛| 沁阳| 金口河| 台安| 什邡| 什邡| 淇县| 彭州| 甘洛| 甘洛| 金门| 固镇| 康定| 凭祥| 永州| 肥乡| 科尔沁左翼后旗| 张家港| 衡阳县| 维西| 宁乡| 江源| 称多| 资阳| 江达| 浦城| 岳阳县| 江陵| 郎溪| 景宁| 云霄| 石林| 恒山| 乌伊岭| 南平| 科尔沁右翼中旗| 蒲江| 新河| 岳阳县| 九江县| 平罗| 余江| 乐清| 内黄| 曾母暗沙| 丹棱| 扬中| 肥城| 神农顶| 临沂| 山海关| 鄂州| 和政| 双牌| 君山| 临漳| 布尔津| 白玉| 察雅| 蔚县| 三江| 化德| 祁门| 玛纳斯| 陆河| 苗栗| 南陵| 秦皇岛| 镇安| 泰安| 南海| 威尼斯真人备用网址
登录 / 注册
IT168安全频道
IT168首页 > 安全 > 安全案例 > 正文

勒索软件假冒Locky恶意软件攫取钱财

2018-05-25 16:03    it168网站原创  作者: 厂商投稿 编辑: 高博
澳门永利娱乐 低能耗插电式混合动力乘用车关键技术及其产业化项目,更是荣获2017年度国家科技进步奖二等奖。

  【IT168 案例】Palo Alto Networks威胁情报小组 Unit42近日宣布发现PowerWare(也被称为PoshCoder)的全新变种,在有意模仿臭名昭著的Locky勒索软件家族。PoshCoder自2014年开始便使用PowerShell对文档进行加密,2016年3月报道称其有新变种PowerWare出现,该恶意勒索软件可对受害者电脑里的文件进行加密,然后通过支付比特币等数字货币的方式向受害者进行勒索。

  除了将‘.locky’作为加密过文件的扩展名,PowerWare还使用与Locky恶意软件家族相同的勒索信。对PowerWare来讲这不是第一次模仿其他恶意软件家族,其早期版本便使用CryptoWall 恶意软件的勒索信。此外,有些恶意软件还会借用其他软件的代码,比如TeslaCrypt系列恶意软件。

  Unite42团队曾经编写过一个名为Python的脚本,可在受害者的电脑上逐次找到带有‘.locky’扩展名的文件并将其还原到初始状态。其解密版本可通过以下链接进行下载 ( https://github.com/pan-unit42/public_tools/blob/master/powerware/powerware_decrypt.py) 。

  分析

  对PowerWare的初步分析显示,该样本为.NET可执行文件,在使用一款名为dnSpy的.NET反编译程序对其进行细致检查后,我们在Quest Software上发现有“PowerGUI”字样显示,于是我们立刻意识到这一恶意软件使用的是PowerShell 脚本编辑器,其可将PowerShell脚本转换为Microsoft可执行文件。

勒索软件假冒Locky恶意软件攫取钱财

反编译恶意软件变种所参考的PowerGUI

勒索软件假冒Locky恶意软件攫取钱财

反编译主要功能

  通过对.NET可执行文件进一步检查,我们发现其正在使用ScriptRunner.dll来拆包一个名为fixed.ps1的PowerShell脚本。这个拆解过的文件位于以下位置,

  %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

  实际上,这个.NET微软Windows可执行文件只负责拆包某个嵌入式脚本并使用PowerShell.exe来运行它。该脚本位于一个名为Scripts.zip的压缩文件内,该压缩文件位于如下面图三所显示的资源节内。

勒索软件假冒Locky恶意软件攫取钱财

▲Scripts.zip 内嵌于恶意软件资源节内

  由于Scripts.zip文件在内嵌于恶意软件之前未经任何掩饰处理,借助dnSpy我们便能轻松地将其从压缩文件中抽取出来,这有助于我们从中获取压缩的PowerShell 脚本。

  PowerShell 与 PoshCoder/PowerWare的变种极其相似。如图四显示,该样本借助硬编码密钥进行128位AES加密,可让受害者无需支付赎金便可解密文件。这里面不包含网络信标,不会把密钥生成的字节像某些变种那样任意传送。

勒索软件假冒Locky恶意软件攫取钱财

  PowerWare变种加密设置

  PowerShell脚本会自动扫描受害者的电脑,搜寻带有以下扩展名的文件并对其加密。

勒索软件假冒Locky恶意软件攫取钱财

  PowerWare加密的文件扩展名

  然后,PowerWare将这些加密过的文件的扩展名修改为.locky,就像臭名昭著的Locky恶意软件那样。此外,PowerWare还会编写一个名为‘_HELP_instructions.html’的HTML文件,其与Locky系列恶意软件在用词上完全一致,勒索信放置于含有加密文件的文件夹中。

勒索软件假冒Locky恶意软件攫取钱财

  PowerShell编码用于模仿Locky系列恶意软件

勒索软件假冒Locky恶意软件攫取钱财

  PowerWare 勒索信使用了与Locky相同的措辞

  在此事件中,受害者若要为此支付赎金,会被引导至某个网站,如下图所示。该网站会告诉(受害者)如何购买比特币,此时我们会再次看到相关材料,充分证明这一变种所极力模仿的便是Locky系列勒索软件。

勒索软件假冒Locky恶意软件攫取钱财

  解密网站

编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部
乳香飘酒厂 钟村街道 阿苏卫 西永合庄 三天竺
后埔塘 瑞丽 七塘 大徐 桃龙藏族乡
中国线上博彩 电子博彩 线上博彩 最新免费电影 SEO 葡京在线 免费小说网