勒索軟體Mobef現新變種 攻擊目標瞄準義大利

「用指尖改變世界」

CSE Cybsec-ZLab的安全研究人員最近了一份關於勒索軟體Mobef新變種的分析報告，並指出，位於義大利的互聯網用戶將成為其主要攻擊目標。

如同典型的勒索軟體一樣，Mobef的這個新變種可以在不更改文件擴展名的情況下對所有用戶文件進行加密，並放置包含如何支付贖金指示信息的文件。此外，它還會彈出一個警示窗口，用於顯示贖金票據。

分析表明，它是採用Delphi 4編寫的，並且不包含任何有用的字元串。有趣的是，其文件中出現的某些單詞透露出，該變種的開發人員極有可能來自使用阿拉伯語作為母語的國家。例如「薩拉姆(salam)」、「真主(bismillah)」和「宗教警察(mutaween)」。

該變種的導入地址表為空，這意味著它並不像看起來那麼微不足道，因為它使用了某種技術來避免被分析。

為了使被分析變得更加困難，它的加密階段一個特定線程中完成的，而這個線程對研究人員所使用的調試器來說是不可見的。主線程會在在顯示贖金票據之前，使用「waitformultipleobjects」API調用等待加密線程。

執行後，勒索軟體會創建三個文件：

READ.4YOU：它包含贖金票據，如彈出窗口中所示，並存儲在每個有加密文件的文件夾中;

Bismillah.KEI：它包含用於識別受害者的個人密鑰，同樣存儲在每個有加密文件的文件夾中;

286490.log：它包含被加密文件的列表，並存儲在C盤下的Windows文件夾中。

一旦加密階段完成，該變種將嘗試聯繫外部伺服器「mutaween[.]sa」，以便上傳一系列信息，這包括受感染設備的ID、設備名稱以及其他一些未知信息。

奇怪的是，域名「mutaween[.]sa」並不存在，這表明它目前尚未由DNS伺服器解析。研究人員認為，該變種的開發人員或許會在註冊域名之後引入其他一些特性。

在經過深入分析後，研究人員得出結論，Mobef的這個變種實現了許多功能，並且能力很強。就拿加密文件來說，它不僅能加密本地硬碟中的文件，還包括存儲在可移動存儲設備(如U盤)以及網路共享下的文件。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！