流氓會武功 | 這款勒索軟體不僅能勒索，還能DDoS

一款名為 FireCrypt 的勒索軟體正悄然來襲。它不僅具備一般勒索軟體的特性，會將受感染的系統文件惡意加密。還會試圖利用受感染者機器，向其源碼中硬編碼的 URL 地址，發起微弱的 DDoS 攻擊。

這個新型勒索軟體，是由 MalwareHunterTeam （惡意軟體獵人小組）發現的。以下是 MalwareHunterTeam 和 Lawrence Abrams 提供的對該惡意軟體的分析報告。

作為勒索軟體構建套件的 FireCrypt

惡意軟體通常通過從源碼編譯生成，或者通過軟體來自動生成，自動化軟體會採用某些輸入參數，並以此來定製惡意軟體的有效載荷。

後者在業內，被稱為惡意軟體構建器，一般都為

命令行

應用程序或

GUI

的工具。

而

FireCrypt

勒索軟體的作者，則使用的是命令行應用程序。在使用過程中，該應用程序會自動將

FireCrypt

的樣本文件放在一起，允許他修改基本設置，而不需要再使用笨重的

IDE

，重複編譯源碼了。

FireCrypt

的構建器，被命名為

BleedGreen

（見下文），它允許

FireCrypt

作者，給勒索軟體自定義名稱，並使用個性化圖標，來生成一個獨特的勒索軟體可執行文件。與其他勒索軟體構建器相比，

BleedGreen

算是一個比較低端的構建器。

與其他類似的構建器相比，它的自定義選項少的可憐。例如某些類似的構建器，還會有比特幣收付款地址，贖金值，電子郵件聯繫地址等設置選項。

BleedGreen

除了可以將生成的可執行文件

EXE

，偽裝為

PDF

或

DOC

的圖標外，它還會對勒索軟體的二進位文件做細微的改動，以便在每次編譯時，都能生成一個具有不同哈希值的文件。

該技術經常被惡意軟體開發人員，用來創建所謂的「多態性惡意軟體」，這樣做的目的就是儘可能的躲避殺毒軟體的查殺。

根據

MalwareHunterTeam

的介紹，「

BleedGreen

構建器是一款非常低端和基礎的勒索軟體構建器，因此它並不能真正意義上實現免殺。」

不過從這也可以看出，

FireCrypt

的作者還是具備一定的惡意軟體開發經驗的，而不是一個只會從

GitHub

下載開源勒索軟體的腳本小子。

FireCrypt 感染過程

能否將

FireCrypt

感染給目標系統，取決于勒索軟體的分發者能否成功誘使目標用戶啟動生成的

EXE

可執行文件。

一旦生成的惡意 EXE 文件被成功觸發，那麼

FireCrypt

將會殺死計算機的任務管理器（

taskmgr.exe

）進程，並使用

AES-256

加密演算法，對列表中的

20

個文件類型進行加密。

所有被加密文件的原始文件名和擴展名都將附加「.firecrypt」後綴。例如，名為

photo.png

的文件，將被重命名為

photo.png.firecrypt

。

一旦文件加密過程結束，

FireCrypt

就會在桌面，彈框警告用戶按其要求支付相應的贖金，以此來換取文件的解鎖。

據

MalwareHunterTeam

介紹說，該贖金彈框與去年

10月14日

小組發現的一款勒索軟體的贖金彈框幾乎是一樣的。

當時發現該勒索軟體時，好像還處於開發階段並未成型。直到今年才發現，有受感染機器的文件被加密。

唯一不同的是，去年發現的那款勒索軟體在贖金彈框頂部放置了一個類似

logo

的標誌，而

FireCrypt

卻移除了這個標誌。

但是，通過仔細檢查

Deadly

的源代碼，

MalwareHunterTeam

發現這兩款勒索軟體，使用的電子郵件和比特幣地址相同，這表明兩者之間緊密相關，

FireCrypt

極有可能是

Deadly

這款勒索軟體的升級版。

DDoS 之用垃圾文件填充你的硬碟驅動器

除了加密受感染用戶文件並向用戶索要贖金外，

FireCrypt

還會調用其源碼包含的一個函數，該函數會持續不斷地連接到遠程的一個

URL

地址，下載一些垃圾文件，並自動將其保存在你硬碟的

%Temp%

文件下，同時命名為

[random_chars]-[connect_number].html

。

如果用戶不知道這個功能，

FireCrypt

將會在短時間內，將垃圾文件迅速填充滿你的

％Temp％

文件夾。

當前該版本的

FireCrypt

勒索軟體，將會從遠程連接並下載

http://www.pta.gov.pk/index.php

上的內容，該

URL

為巴基斯坦電信管理局的官網地址。

當前，我們無法使用勒索軟體的構建器修改此 URL。

FireCrypt

的作者將此功能稱為

「DDoSer」

，他必須感染成千上萬台的機器，才有可能對巴基斯坦電信管理局的官網發起

DDoS

攻擊。

此外，所有受感染的計算機，都必須處於連網狀態，只有這樣才能參與到其發起的

DDoS

的攻擊。

截至這篇文章發布，還沒有發現有效方法來恢復這些被加密的文件。

因此，一旦你感染了這種勒索軟體，想要在短時間內恢復文件，則可能不得不按要求支付

500 美元

的贖金來解鎖。相反，如果你實在不願意或無力支付這筆贖金。那麼，請務必保留好這些被加密文件的副本，或許不久以後就會有人放出它的解密器。

定位文件擴展名：

.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent

與 FireCrypt 勒索軟體相關聯的文件：

%AppData%MicrosoftWindowsStart MenuProgramsStartup[random_chars].exe - Startup Executable%Desktop%[random_chars]-READ_ME.html - Ransom Note%AppData%SysWin32files.txt - List of Encrypted Files%Desktop%
andom_chars]-filesencrypted.html - List of Encrypted Files%Temp%
andom_chars]-[connect_number].html - Files downloaded during the DDoS attack

與 FireCrypt 勒索軟體相關的哈希值：

leedGreen

構建器（當前

VirusTotal

掃描結果顯示，在

57

款殺毒軟體檢測中，只有

2

款殺毒軟體，認為它是惡意軟體）：

SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d

一個

FireCrypt

勒索軟體二進位示例（當前

VirusTotal

掃描結果顯示，在

57

款殺毒軟體檢測中，只有

13

款殺毒軟體，認為它是惡意軟體）：

SHA-256: d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f

電子郵件地址和付款聯繫人：

EMAIL: gravityz3r0@sigaint.org

Source:https://www.bleepingcomputer.com/

*參考來源

securitynewspaper

，FB小編 secist 編譯，轉載請註明來自 FreeBuf（FreeBuf.COM）

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊下面的「搶先收到最新資訊」瀏覽吧！


請您繼續閱讀更多來自 FreeBuf 的精彩文章: