左手挖礦右手勒索：新型病毒拒絕空手而歸

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

安全研究員發現了一款有意思的惡意軟體，它根據電腦系統配置確定是通過密幣挖礦機還是通過勒索軟體實施感染。

勒索軟體鎖定受害者計算機並阻止受害者訪問加密數據，除非受害者支付勒索金獲得解密密鑰，而密幣挖礦機利用受感染系統的CPU挖掘數字貨幣。

勒索軟體和基於挖掘密幣的攻擊都是今年面臨的最大威脅，而且它們之間存在很多相似之處，如它們都並非複雜攻擊，攻擊非目標用戶以牟利並涉及數字貨幣等。

然而，由於無法保證所鎖定的受害者在沒有重要信息丟失的情況下會支付勒索金，因此在過去幾個月中，網路犯罪分子轉向更具欺詐性的密幣挖掘，通過使用受害者的計算機牟利。

卡巴斯基實驗室的安全研究員發現了Rakhni勒索軟體家族的新變體，它現已升級，包含密幣挖掘能力。該惡意軟體用Delphi編寫而成，將Word郵件附件作為誘餌攻擊受害者。受害者打開該附件後會收到保持文檔並啟用編輯的消息提示。

這份Word文檔中包含一個PDF圖標，如被點擊，則會在受害者計算機上啟動一個惡意可執行文件並立即在執行時展示虛假的出錯消息，誘騙受害者認為打開文件所需的系統文件丟失。

確定勒索還是挖礦

然而，惡意軟體在後台會執行很多反虛擬機和反沙箱檢查，以確定是否可以能在不被發現的情況下感染系統。如果所有條件都具備，惡意軟體就會執行更多檢查來決定最終的感染payload即勒索軟體或挖礦機。

（1）安裝勒索軟體：如果目標系統的AppData部分存在「Bitcoin」文件夾。

在通過RSA-1024加密演算法加密文件之前，這款惡意軟體終止匹配預定義的熱門應用列表的進程，並隨後通過文本文件展示勒索留言。

（2）安裝密幣挖礦機：如果「Bitcoin」文件夾不存在且機器擁有超過兩個的邏輯處理器。

如果系統遭密幣挖礦機感染，那麼它通過MinerGate工具在後台挖掘門羅幣(XMR)、XMO和DSH密幣。

除此之外，該惡意軟體還使用CertMgr.exe工具安裝虛假的聲稱由微軟和Adobe Systems Incorporated頒發的根證書，試圖將挖礦機偽裝成受信任進程。

（3）激活蠕蟲組件：如不存在「Bitcoin」文件夾，只存在一個邏輯處理器的情況。

這個組件可幫助惡意軟體自我複製到所有位於使用共享資源的本地網路中的計算機中。

不管惡意軟體選擇了哪種感染方式，它都會檢查系統是否啟用了所列出的殺毒進程。如果未發現，惡意軟體就會運行多個cmd命令，試圖禁用Windows Defender。

監控功能

研究人員指出，「另外一個有意思的事實是，惡意軟體還具有一些間諜軟體的功能，信息中包括一個正在運行進程的列表以及截屏附件。」

這款惡意軟體變體主要攻擊的用戶位於俄羅斯(95.5%)，少量用戶分布在哈薩克(1.36%)、烏克蘭(0.57%)、德國(0.49%)以及印度(0.41%)。

免遭此類攻擊的最佳方式首先是永遠不要打開郵件提供的可疑文件和鏈接。另外，養成備份和更新殺毒軟體的好習慣。

https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！