「made in China」最強背鍋,勒索軟體FakeCry「各種冒牌」有何目的?
E安全7月9日訊卡巴斯基實驗室指出,NotPetya並不是上周唯一利用M.E.Doc更新機制感染目標的惡意軟體:山寨版WannaCry勒索軟體利用同樣的渠道進行傳播。
「冒牌」得「有模有樣」
6月27日感染M.E.Doc用戶的勒索軟體被稱為「FakeCry」,也就是NotPetya爆發當天。卡巴斯基表示,FakeCry通過父進程ezvit.exe在M.E.Doc目錄中作為ed.exe運行,也就是說,這款勒索軟體的傳遞機制與NotPetya一致。
FakeCry用.Net編寫,並使用了「WNCRY」字元串,顯然是想跟WannaCry沾邊,同樣,其中還存在一個「被遺忘」的PDB路徑。
中國躺槍
FakeCry還偽裝自己是「中國製造」,但這種冒充行為被研究人員識破。
上個月,一些安全研究人員認為,WannaCry的幕後黑手是朝鮮黑客,而也有專家認為,WannaCry不是朝鮮黑客的風格。Flashpoint公司對28封WannaCry勒索信進行語言分析後認為,攻擊者中文流利,似乎還懂英文。
WannaCry通過「永恆之藍」(EternalBlue)Windows漏洞利用進行傳播,而FakeCry使用丟棄器(Dropper),其作為wc.exe在磁碟保存。該Dropper可以執行幾種命令:
丟棄勒索軟體組件;
開始加密,
開始解密;
密鑰(加密公共密鑰和機密私鑰);
演示(藉助硬編碼RSA密鑰加密或解密)。
另一方面,這款勒索軟體的組件能生成RSA-2048密鑰對,加密/解密文件,加密/解密磁,盤,並刪除被感染設備上的卷影副本(Shadow Copy)。執行時,這款惡意軟體首先會刪除卷影副本,之後初始化密鑰,創建加密文件列表,處理加密文件,並顯示勒索窗口。
冒牌貨可加密170餘種文件類型
研究人員表示,FakeCry可以加密大約170種文件類型。如果使用具有針對性的文件,攻擊者還可以殺死進程,解鎖文件。這款軟體使用Handler Viewer Sysinternals工具完成任務。FakeCry還包含僅含有圖像文件(jpg、jpeg、png、tif、gif和bmp)的擴展列表,攻擊者可利用該列表免費解密。
FakeCry的勒索信與WannaCry類似。FakeCry索要的贖金為0.1比特幣(約1042元),並在所有感染中使用相同的錢包號碼(迄今為止,此錢包收到7筆贖金)。這款勒索軟體使用Tor命令與控制伺服器。
還會不會有別的FakeCry?
卡巴斯基指出,ExPetr/Petya不是唯一通過MeDoc更新傳播的惡意軟體。與此同時,另一勒索軟體FakeCry也在感染MeDoc用戶。約90個被攻擊的組織機構收到了FakeCry勒索軟體,這些組合機構幾乎均位於烏克蘭。
烏克蘭當局本周宣布突擊調查了M.E.Doc伺服器,他們擔心NotPetya背後的網路犯罪分子仍在使用這些資源。烏克蘭官員發布官方公告建議,用戶關閉所有運行M.E.Doc軟體的電腦,及時修改密碼和電子數字簽名。
考慮到這兩款惡意軟體家族同時通過相同的媒介感染目標,這表明,這兩起活動可能有關聯。但是,安全研究人員尚未明確將兩者關聯起來。
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※美國核能公司遭遇黑客事件,多個核電站被入侵
※報告:美國大型銀行65%未通過網路安全測試
※Linux並沒有想像中的安全?威脅攻擊方法增加300%
TAG:E安全 |
※頭條:基於WordPress,Joomla和CodeIgniter的數以百計的網站感染ionCube惡意軟體
※PCB layout用啥軟體比較好?Cadence or AD?
※Usechain CEO曹輝寧:沒有token的區塊鏈只是服務軟體
※勒索軟體Kraken Cryptor RaaS分析
※BondPath:一個以Google Play為幌子的Android間諜軟體
※軟體定義汽車?Stop Coding&Start Configuring「GGAI佈道」
※Electron 軟體框架漏洞影響眾多熱門應用:Skype、Signal、Slack、Twitch……
※假冒iPhone X?運行iOS皮膚的Android後門和惡意軟體!
※MacBook Pro揚聲器遭某款軟體損毀!元兇有可能是Adobe Premiere
※惡意軟體針對Google的DoubleClick
※新型惡意軟體Nigelthorn通過Facebook和Chrome插件傳播
※最新 Mac 惡意軟體 OSX/CrescentCore 被發現
※Windows Defender支持沙盒:Windows殺毒軟體第一次
※Malwarebytes Labs對SamSam勒索軟體的分析
※黑客出售黎巴嫩間諜軟體DarkCaracal,竊取全球Android手機、WindowsPC數據
※RPA軟體之Automation Anywhere研究
※如何用 iPad Pro 剪輯,移動端最強大的剪輯軟體 Lumafusion
※奧運會的毀滅者:Olympic Destroyer 惡意軟體
※社交軟體 Vero - True Social 成為 Facebook 新勁敵
※一個可以動態分析惡意軟體的工具——Kernel Shellcode Loader