含有緊急出口圖的垃圾郵件推送GandCrab勒索軟體
研究人員近日發現一起新的垃圾郵件活動,垃圾郵件活動會發送收件人所在建築物的緊急出口圖給收件人,緊急出口圖同時也被用戶安裝GandCrab勒索軟體。
BleepingComputer決定深入分析傳播的垃圾郵件和文件,以確定活動的工作原理。
最新的垃圾郵件活動假裝發送給接收者所在建築物的緊急出口圖。郵件稱來自Rosie L. Ashton,主題是Up to datе еmеrgеnсy еxit map(最新緊急出口圖),附件中有一個名為Emergencyexitmap.doc的word文檔。
打開附件後,用戶可以看到內容Emergency exit map,和彈窗「enable content」。
惡意word文檔
如果用戶點擊Enable Content,word宏就會執行PowerShell腳本在計算機上下載和安裝GandCrab v5.1勒索軟體。
混淆的宏
從上面可以看出, PowerShell腳本被混淆了,這樣就很難看出到底發生了什麼。
混淆的word宏
解混淆後,可以看出宏文件會從http://cameraista.com/olalala/putty.exe下載一個名為putty.exe文件,並保存為C:Windows empputty.exe,然後執行putty.exe。
反混淆的PowerShell腳本
putty.exe可執行文件其實就是GandCrab 5.1,執行後會開始加密計算機上的文件。就像之前的GandCrab一樣,GandCrab會繼續加密文件並在文件名中加入隨機的擴展。
GandCrab 5.1加密的文件
在加密計算機時,GandCrab還會在每個加密的文件夾中創建勒索信息。勒索信息表明GandCrab的版本是v5.1,並給出如何支付贖金的指示。
GandCrab 5.1勒索信息
目前還無法解密GandCrab 5.1加密的文件。這也給我們一個啟示就是,不要隨便打開郵件中的附件,除非你很清除郵件的發送者以及附件中的內容。研究人員還建議打開附件前使用殺毒軟體對文檔進行掃描。
※M2M技術設計和實現漏洞
※緩衝區實例講解之protostar stack3挑戰篇
TAG:嘶吼RoarTalk |