勒索軟件假冒Locky惡意軟件攫取錢財

網站內容來源http://server.it168.com/

勒索軟件假冒Locky惡意軟件攫取錢財

2016-08-02 16:03    原創  作者: 廠商投稿 編輯:
0購買

  【IT168 案例】Palo Alto Networks威脅情報小組 Unit42近日宣布發現PowerWare(也被稱為PoshCoder)的全新變種,在有意模仿臭名昭著的Locky勒索軟件家族。PoshCoder自2014年開始便使用PowerShell對文檔進行加密,2016年3月報道稱其有新變種PowerWare出現,該惡意勒索軟件可對受害者電腦里的文件進行加密,然後通過支付比特幣等数字貨幣的方式向受害者進行勒索。

  除了將‘.locky’作為加密過文件的擴展名,PowerWare還使用與Locky惡意軟件家族相同的勒索信。對PowerWare來講這不是第一次模仿其他惡意軟件家族,其早期版本便使用CryptoWall 惡意軟件的勒索信。此外,有些惡意軟件還會借用其他軟件的代碼,比如TeslaCrypt系列惡意軟件。

  Unite42團隊曾經編寫過一個名為Python的腳本,可在受害者的電腦上逐次找到帶有‘.locky’擴展名的文件並將其還原到初始狀態。其解密版本可通過以下鏈接進行下載 ( ) 。

  分析

  對PowerWare的初步分析显示,該樣本為.NET可執行文件,在使用一款名為dnSpy的.NET反編譯程序對其進行細緻檢查后,我們在Quest Software上發現有“PowerGUI”字樣显示,於是我們立刻意識到這一惡意軟件使用的是PowerShell 腳本編輯器,其可將PowerShell腳本轉換為Microsoft可執行文件。

反編譯惡意軟件變種所參考的PowerGUI

反編譯主要功能

  通過對.NET可執行文件進一步檢查,我們發現其正在使用ScriptRunner.dll來拆包一個名為fixed.ps1的PowerShell腳本。這個拆解過的文件位於以下位置,

  %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1

  實際上,這個.NET微軟Windows可執行文件只負責拆包某個嵌入式腳本並使用PowerShell.exe來運行它。該腳本位於一個名為Scripts.zip的壓縮文件內,該壓縮文件位於如下面圖三所显示的資源節內。

▲Scripts.zip 內嵌於惡意軟件資源節內

  由於Scripts.zip文件在內嵌於惡意軟件之前未經任何掩飾處理,藉助dnSpy我們便能輕鬆地將其從壓縮文件中抽取出來,這有助於我們從中獲取壓縮的PowerShell 腳本。

  PowerShell 與 PoshCoder/PowerWare的變種極其相似。如圖四显示,該樣本藉助硬編碼密鑰進行128位AES加密,可讓受害者無需支付贖金便可解密文件。這裏面不包含網絡信標,不會把密鑰生成的字節像某些變種那樣任意傳送。

  PowerWare變種加密設置

  PowerShell腳本會自動掃描受害者的電腦,搜尋帶有以下擴展名的文件並對其加密。

  PowerWare加密的文件擴展名

  然後,PowerWare將這些加密過的文件的擴展名修改為.locky,就像臭名昭著的Locky惡意軟件那樣。此外,PowerWare還會編寫一個名為‘_HELP_instructions.html’的HTML文件,其與Locky系列惡意軟件在用詞上完全一致,勒索信放置於含有加密文件的文件夾中。

  PowerShell編碼用於模仿Locky系列惡意軟件

  PowerWare 勒索信使用了與Locky相同的措辭

  在此事件中,受害者若要為此支付贖金,會被引導至某個網站,如下圖所示。該網站會告訴(受害者)如何購買比特幣,此時我們會再次看到相關材料,充分證明這一變種所極力模仿的便是Locky系列勒索軟件。

  解密網站

上一頁
1 內容導航

  • 第1頁:
  • 第2頁:

, , ,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

您可能也會喜歡…