新勒索軟體「Defray」可通過Microsoft Word文檔傳播
我們最初觀察到該勒索病毒的命令和控制(C&C)伺服器主機名為:「defrayable-listings[.]000webhostapp[.]com」。因此,我們將它取名為「Defray」。巧合的是動詞defray在英文當中,正是指提供資金支付一部分成本或費用的意思,但至於受害者具體支付了多少贖金我們不得而知。
Defray的傳播形式
最初,受害者會接收到一封電子郵件,該郵件中則包含了一份嵌入式可執行惡意Word文檔附件,特別是OLE package shell對象。
惡意Word文檔看起來像是份專利醫學報告,並標有英國醫院的信息管理與技術部門的標誌。
接著,它會強制受害者雙擊該可執行文件以啟動進程。
一旦受害者進行了雙擊操作,Defray就會像其他勒索軟體一樣被刪除,並在
%TMP%
文件夾中啟動一個名為taskmgr.exe或explorer.exe的偽裝進程並執行。
最終,受害者將會收到文件被加密並要求支付贖金的提示信息。
該勒索軟體會在系統的許多文件夾中創建FILES.TXT文件(圖3)。 HELP.txt與FILES.txt文件的內容是相同的,該文件同時還會在執行勒索軟體的桌面文件夾中。
根據提示信息,勒索者要求受害者向其支付價值5000美金的比特幣贖金才能恢復被加密的文件。
勒索者還提供了一個電子郵件賬號,用於與受害者進一步的溝通協商。
Defray支持對以下文件擴展名的加密:
.001 | .3ds | .7zip | .MDF | .NRG | .PBF | .SQLITE | .SQLITE2 | .SQLITE3 | .SQLITEDB | .SVG | .UIF | .WMF | .abr | .accdb | .afi | .arw | .asm | .bkf | .c4d | .cab | .cbm | .cbu | .class | .cls | .cpp | .cr2 | .crw | .csh | .csv | .dat | .dbx | .dcr | .dgn | .djvu | .dng | .doc | .docm | .docx | .dwfx | .dwg | .dxf | .fla | .fpx | .gdb | .gho | .ghs | .hdd | .html | .iso | .iv2i | .java | .key | .lcf | .matlab | .max | .mdb | .mdi | .mrbak | .mrimg | .mrw | .nef | .odg | .ofx | .orf | .ova | .ovf | .pbd | .pcd | .pdf | .php | .pps | .ppsx | .ppt | .pptx | .pqi | .prn | .psb | .psd | .pst | .ptx | .pvm | .pzl | .qfx | .qif | .r00 | .raf | .rar | .raw | .reg | .rw2 | .s3db | .skp | .spf | .spi | .sql | .sqlite-journal | .stl | .sup | .swift | .tib | .txf | .u3d | .v2i | .vcd | .vcf | .vdi | .vhd | .vmdk | .vmem | .vmwarevm | .vmx | .vsdx | .wallet | .win | .xls | .xlsm | .xlsx | .zip
據Proofpoint報道:「Defray通過HTTP和HTTPS協議與外部C&C伺服器進行通信,並向其報告感染信息。」
最後,Defray會加密文件並禁用啟動恢復和刪除卷影副本。
在Windows 7上,Defray使用GUI監視和殺死運行的程序,例如任務管理器和瀏覽器。
*參考來源:gbhackers,FB小編 secist 編譯,轉載請註明來自FreeBuf.COM
※特別企劃 | 維基解密CIA泄露盤點:駭人聽聞的攻擊部門和全方位黑客工具
※Kali Linux下社工密碼字典生成工具Cupp和Cewl教程
※不懂編程也能造勒索軟體,來看國內這款Android勒索軟體生成工具
※【FB TV】BUF大事件番外篇:2017上半年十大黑客事件盤點
※OpenStack:建立虛擬的滲透測試實驗環境 – 安裝篇
TAG:FreeBuf |