龙8国际官网下载

1   1  /  1  页   跳转

[经验分享] 新型勒索病毒又来了!欧洲200余政府企业已中招

新型勒索病毒又来了!欧洲200余政府企业已中招

2017年10月24日,一种新型勒索软件“坏兔子(Bad Rabbit)”在欧洲爆发,影响超过200多个政府机构和私营企业,截至发稿时,俄罗斯、保加利亚和土耳其均遭受攻击,已证实的受害者包括乌克兰敖德萨机场、乌克兰基辅地铁系统、
乌克兰基础设施部、三个俄罗斯新闻机构(包括Interfax和Fontanka在内)。


目前,龙8国际官网下载云龙8国际官网下载安装系统暂未在国内监测到该病毒大面积扩散。



此次“坏兔子(Bad Rabbit)”勒索软件与今年5、6月份爆发的“永恒之蓝 (WannaCry)”和彼佳(Petya)攻击类似。
通过诱骗下载“Flash”的方式进行传播,当用户点击病毒通知消息时,它就会下载一个名为 install_flash_player.exe 的病毒文件。

图:病毒伪装flash文件
龙8国际官网下载龙8国际官网下载安装研究人员介绍,一旦“坏兔子”执行完任务,它就会重启用户电脑,并留下自定义的MBR勒索留言。
勒索留言要求受害者访问Tor网络上的一个站点并支付0.05比特币(约折合280美元),而且受害者只有40多个小时的支付时间,
否则勒索金就会上涨。目前,龙8国际官网下载所有企业级产品与个人级产品均可对其进行拦截并查杀,希望广大龙8国际官网下载用户将龙8国际官网下载产品更新到
最新版本并及时更新操作系统补丁。





“坏兔子(Bad Rabbit)”病毒分析报告


病毒伪装为adobe公司的flash程序图标
图:病毒伪装flash文件
但是数字签名却伪装为赛门铁克公司

图:伪装数字签名

运行之后释放infpub.dat并启动


图:释放并启动infpub.dat
infpub.dat 是一个 DLL ,运行之后会释放 加密程序 dispci.exe 和加密驱动 cscc.dat,其中 cscc.dat 是利用正规软件 DiskCryptor 中驱动 dcrypt.sys 重命名而来。
并且展开横向移动传播,攻击局域网中的其它机器,保存的弱口令账号密码如下





图:局域网横向传播用到的弱口令
局域网传播
图:局域网传播
硬编码的RSA密钥
图:RSA密钥
加密的文件类型如下

图:加密文件类型
和驱动通信,加密文件

图:加密文件
和驱动通信,替换MBR

图:替换MBR勒索信的内容,要求受害者访问暗网的一个网站,支付赎金

图:勒索信息被加密文件的后缀名并没有变化,但是末尾有加密标志encrypted
图:被加密文件
此外还创建了两个计划任务

C:\WINDOWS\system32\cmd.exe /C Start "" "C:\Windows\dispci.exe" -id 3785784582 && exit
C:\WINDOWS\system32\shutdown.exe /r /t 0 /f图:计划任务IOC威胁指标


MD5
fbbdc39af1139aebba4da004475e8839  install_flash_player.exe
1d724f95c61f1055f0d02c2154bbccd3  infpub.dat
b14d8faf7f0cbcfad051cefe5f39645f  dispci.exe 


正规软件DiskCryptor中驱动dcrypt.sys 被重命名为cscc.dat
b4e6d97dafd9224ed9a547d52c26ce02  cscc.dat (x86)
edb72f4a46c39452d1a5414f7d26454a  cscc.dat (x64)       
最后编辑麦青儿 最后编辑于 2017-10-25 17:08:55
分享到:
gototop
 

回复:新型勒索病毒又来了!欧洲200余政府企业已中招

又勒了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT 
龙8国际官网下载千亿国际娱乐网页版qy8千亿国际官网优乐娱乐国际城
齐乐娱乐在线优乐娱乐官网诚博娱乐优乐娱乐官网
齐乐娱乐在线千亿国际娱乐网页版qy8千亿国际官网亚虎娱乐平台
龙8国际官网下载龙8国际官网下载安装龙8国际娱乐pt老虎机优乐娱乐国际城
齐乐娱乐在线优乐娱乐官网诚博娱乐优乐娱乐官网