freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一款伪装成Windows激活工具的在野恶意软件分析
2018-09-19 15:00:43

一款伪装成Windows激活工具的在野恶意软件分析

近期,研究人员发现了一款通过外部网络设备传播的新型勒索软件,这一勒索软件活动从8月7号开始一直持续到现在,并且一直伪装成Windows激活工具来进行恶意活动。

一款伪装成Windows激活工具的在野恶意软件分析

根据研究人员的分析,这款勒索软件不仅配备有多种隐藏功能,而且还可以对数据进行加密。当这款勒索软件成功运行之后,它会通过各种参数来实现其不同的恶意功能。除此之外,这款勒索软件还包含一个隐藏表单(按下F8键可查看),配置页面可以让用户配置不同的信息,其中包含的内容如下:

1.   文件的加密密钥;

2.   包含勒索信息的文件名;

3.   勒索信息;

4.   用户的个人ID;

5.   额外文件的后缀名;

一款伪装成Windows激活工具的在野恶意软件分析

除此之外,它还包含了一个“排除路径”,这条路径可以指定需要跳过加密的文件夹,排除路径提供的选项参数包含了默认的Windows文件目录以及程序安装目录。

加密密钥的获取地址为“cosonar.mcdir.ru/get.php”,如果网络问题导致无法在线获取加密密钥,它将会使用默认的加密密钥和默认的用户ID来完成文件的加密操作。勒索软件在执行加密操作时,使用的是开源代码库CryptoPP和AES加密算法。加密成功之后,它会在所有目标文件的后缀名后面添加一个“[.]keypass”后缀,并要求用户在72小时之内支付300美金才可以解密文件。

一款伪装成Windows激活工具的在野恶意软件分析

后话

勒索软件攻击是全球用户都需要面临的问题,作为一种有利可图的网络犯罪模式,攻击者还会在勒索软件中添加蠕虫病毒的感染和传播功能,这样就能够增加勒索软件在网络上的传播能力了。

* 参考来源:gbhackers,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# windows # 激活工具
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者