山寨版WannaCry在烏克蘭浮出水面
E安全7月1日訊 前幾天,新一輪勒索軟體再次席捲全球,多國中招,烏克蘭算是這起攻擊的重災區。然而,在不到兩個月的時間裡,烏克蘭就遭遇多起勒索攻擊,這或許讓烏克蘭苦不堪言…
當地時間28日,第4四起勒索軟體攻擊再次肆虐烏克蘭,部分攻擊模式與先前該國遭受的攻擊一致,例如XData、PScrypt和NotPetya。
安全研究人員MalwareHunter昨日發現了新勒索攻擊,他之所以注意到新勒索軟體,是因為大多數烏克蘭的受害者在VirusTotal上提交分析樣本。
過去一個半月,烏克蘭已經陸續遭遇了多起勒索軟體攻擊,首先是5月中旬XData攻擊、其次是上周發生的PSCrypt攻擊以及本周二遭受的NotPetya攻擊。
MalwareHunter表示,新發現的勒索軟體攻擊發生在周一,也就是NotPetya爆發前一天。以下原因引起了MalwareHunter的注意。
M.E.Doc伺服器似乎在散布另一款勒索軟體
其中一條突出的線索是這款勒索軟體組件的所在位置是:C://ProgramData//MedocIS//MedocIS//ed.exe。
這個文件路徑屬M.E.Doc IS-pro(烏克蘭一款會計軟體)特有。XData和NotPetya均利用M.E.Doc更新伺服器傳送勒索軟體的有效載荷。微軟、卡巴斯基、思科和其它網路安全公司認為,M.E.Doc軟體更新伺服器就是NotPetya爆發的源頭。
目前尚不清楚,新勒索軟體是否通過同一伺服器的木馬更新,或是從一開始安裝的被感染M.E.Doc應用感染了用戶。
自NotPetya爆發以來,全球多國受到影響。M.E.Doc公司一直否認託管過被感染的應用程序。
該公司在Facebook上表示,公司請求思科專家幫助為自己澄清,並調查伺服器上發生的情況。M.E.Doc公司在致安全媒體Bleeping Computer的電子郵件中表示,該公司還邀請了網路警局的官員調查此事。
雖然思科與烏克蘭當局正在調查劫持M.E.Doc的罪魁禍首,但現在可以肯定的是,可能還有另一款勒索軟體在使用同樣的伺服器感染受害者,只是感染程度不及NotPetya。
山寨版WannaCry
新的勒索軟體看似像WannaCry。MalwareHunter表示,這款勒索軟體設計得與WannaCry相似,但實際上並不是WannaCry的克隆體。對於初學者而言,這款勒索軟體用.NET語言編寫,而WannaCry編程語言為C語言。
這款勒索軟體未使用任何NSA漏洞利用工具橫向傳播,並且內部結構也大相徑庭。唯一的相同之處在於圖形用戶界面,顯示了倒計時和要求支付的贖金。
大多數情況下,基於.NET的勒索軟體通常說明,作者沒有編寫程序的經驗,但這款勒索軟體並非如此。
MalwareHunter表示,這個山寨版的WannaCry可能是他見過的最優秀的.NET勒索軟體。顯然,腳本小子開發不出這樣的軟體。
這款新勒索軟體通過最初的丟棄器(Dropper)打開並在本地保存兩個文件(這個山寨版WannaCry窗口的圖形用戶界面和加密器組件)以感染系統。
這款勒索軟體使用基於Tor的C&C伺服器(命令與控制伺服器),如果缺乏特殊的命令行參數,該軟體不會啟動。加密實時應用程序中使用的文件之前,這款軟體會結束進程。MalwareHunter指出,這個功能是他分析過的所有勒索軟體家族特有的功能。
有人專門針對烏克蘭發起勒索軟體攻擊
新勒索軟體的獨特之處在於,它也符合上述三個勒索軟體的模式。這款新勒索軟體試圖偽裝成另一個WannaCry。
上述提及的三個勒索軟體也具有這種特點:
XData建立在被竊AES-NI代碼庫的基礎上;
PSCrypt基於GlobeImposter創建;
NotPetya則偽裝成Petya。
勒索軟體操作人員試圖偽裝成知名的威脅,這不是什麼新鮮事,但AES-NI和GlobeImposter的規模非常小。任何人可能都不會模仿這兩個軟體,除非想低調、秘密行事。
由此可見,有人專門在向烏克蘭發起勒索軟體攻擊,並試圖偽裝成平凡的網路犯罪活動,隱藏其它動機。
將所有這些線索關聯起來不難發現,針對烏克蘭的勒索軟體活動試圖偽裝成其它勒索軟體威脅,其中三個似乎還使用同樣的伺服器進行傳播。
目前沒有確鑿的證據證明,這幾起勒索攻擊活動出自同一人或同一組織之手,但確實存在太多巧合。
SHA256 哈希:
丟棄器(Dropper): 51e84accb6d311172acb45b3e7f857a18902265ce1600cfb504c5623c4b612ff
GUI: 7b6a2cbb8909616fe035740395d07ea7d5c2c0b9ff2111ae813f11141ad77ead
加密器: db8e7098c2bacad6ce696f3791d8a5b75d7b3cdb0a88da6e82acb28ee699175e
勒索信:
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※美國國防承包商工廠晶元代工設備感染神秘病毒
※維基解密:CIA開發「OutlawCountry」入侵Linux系統
※英國已公開確認正對ISIS使用攻擊性網路武器
※俄羅斯為啥盛產頂級黑客?
TAG:E安全 |
※波蘭/烏克蘭畫家 亨里克 西米拉斯基Henryk Siemiradzki作品欣賞
※烏克蘭 Denis Chernov 鉛筆素描
※烏克蘭畫家Nathan Brutsky作品
※超美新娘頭飾設計 | 烏克蘭模特Marina Kostina ?
※烏克蘭畫家Kostenko Anna寫實風景畫欣賞
※烏克蘭畫家 Vitaly Semenchenko 繪畫作品
※烏克蘭的插畫師Alena Aenami
※新面孔Model】陳思琪出鏡烏克蘭版《時裝L』Officiel》十二月刊
※烏克蘭女畫家阿納斯塔西.Grygorieva油畫作品欣賞
※烏克蘭油畫家Yuri Klapoukh筆下的古典鄉村
※浪漫主義人物畫家·烏克蘭Michael`and`lnessa`Gormash
※色粉印象:來自烏克蘭藝術家 Komorny Sergey 繪畫作品
※水鮮花兒:來自烏克蘭水彩畫家 Samofalov Artur 繪畫作品
※烏克蘭基輔Syndicate服裝店
※烏克蘭畫家Stepan Kolesnikov 風景和人物油畫作品欣賞
※烏克蘭美術簡史-20世紀晚期藝術Brief Art History of Ukraine-20th Century
※烏克蘭藝術家艾琳·謝里Irene Sheri
※烏克蘭女藝術家viad.petrovskiy攝影(舞)
※烏克蘭藝術家Nicolas Tolmachev 水彩作品: 慾望與隱喻
※擁抱童趣——烏克蘭插畫師Helen Dardik