防cc_防火墙防ddos攻击_原理

防cc_防火墙防ddos攻击_原理

Windows中编写的自传播勒索软件批量攻击俄语国家

最近,俄语国家的许多用户收到了类似以下消息的电子邮件。它说在"协议"中做了一些更改,受害者需要在签署文档之前检查这些更改。

该消息的附件中有一个zip文件,高防cdn国际,其中包含一个Javascript下载程序。附件包含一个简单的下载程序,它将几个文件下载到%TEMP%并执行其中一个文件。这些文件有.btc附件,但它们是常规可执行文件。

coherence.btc是GetMail v1.33 spoolsv.btc是Blat v3.2.1 lsass.btc是电子邮件提取器v1.21 null.btc是gpg可执行文件day.btc是iconv.dll,运行gpg可执行文件tobi.btc所需的库是浏览器密码转储v2.5 sad.btc是从Sysinternals中删除的paybtc.bat是一个很长的Windows批处理文件,nginxcc攻击防御,它会启动恶意进程本身及其复制

下载所有可用工具后,它会打开一个包含假定文档的文档以进行查看和签名。但是,该文档包含无意义的字符和一条英文消息,上面写着"此文档是在较新版本的MICROSOFT WORD中创建的"。

当用户查看上面显示的文档时,ddos5g的防御,paybtc.bat有效负载已在后台运行并执行以下恶意操作:

所有加密文件的路径列表存储在UNIQUE.BASE文件中。从该文件中,将删除没有感兴趣路径的路径(这些路径包括以下路径:windows temp回收程序appdata roaming Temporary Internet com_uuuIntel Common Resources)。该文件使用cryptpay公钥加密并存储在UNIQUE.PRIVATE中。要解密此文件,攻击者需要cryptpay私钥,服务器ddos防御,该私钥以前使用HckTeam公钥加密。这意味着只有Hckteam私钥的所有者才能解密UNIQUE.private。

当我们在测试环境中显示所有可用密钥的列表(--list keys参数)时,我们可以看到两个公钥;其中一个是硬编码在paybtc.bat文件(HckTeam)中的,第二个是最近生成的,并且对于特定计算机是唯一的(cryptpay)。

然后执行浏览器密码转储(重命名为ttl.exe)。被盗的网站密码存储在ttl.pwd文件中。

然后将ttl.pwd文件发送给攻击者,ddos防御结果,并将电子邮件地址和密码硬编码在bat文件中。

然后处理ttl.pwd。勒索软件搜索已知的俄罗斯电子邮件服务提供商存储的密码。这些网站包括auth.mail.ru、mail.ru、e.mail.ru、passport.yandex.ru、yandex.ru、mail.yandex.ru。当发现用户/密码组合时,会将其存储以备将来使用。

GetMail程序稍后用于从用户帐户读取电子邮件并提取联系人。勒索软件会传播到这些联系人。

由于密码被盗,病毒会运行coherence.exe(重命名为GetMail实用程序),这是一个通过POP3检索电子邮件的实用程序。病毒只知道用户名和密码,而不知道域名,所以它需要几次尝试才能迫使所有主要的电子邮件提供商找到唯一丢失的信息。如果一封电子邮件是在暴力行凶时下载的,它会确认两件事:1.受害者使用的域,2.密码有效的事实。然后病毒下载最后100封电子邮件,提取"来自"电子邮件地址,并运行一个简单的命令过滤掉特定地址,如自动电子邮件。

接下来,创建了10种电子邮件变体,每种都有一个自定义链接。

链接都指向不同的文件,但解压后,我们获得了原始的JavaScript下载程序。

该病毒现在有一封带有恶意链接的假电子邮件、发送地址以及发件人的电子邮件地址和密码。换句话说,它需要传播的一切。

传播是通过使用重命名为spoolsv.btc的程序Blat实现的。病毒的最后一步是删除所有临时文件——不再需要任何文件。

过去我们经常用勒索软件弄脏双手,勒索软件通常是一种高度模糊的可执行文件。这个案子完全不同。它之所以有趣,主要是因为它完全是在批处理文件中编写的,并且依赖于许多开源和/或免费提供的第三方实用程序。此外,通过电子邮件进行自我复制是我们通常看不到的!安全产品可检测此勒索软件并保护我们的用户免受其侵害。确保你的朋友和家人也受到保护。下载avast!现在免费杀毒。

Javascript下载程序(JS:downloader COB)

ee928c934d7e5db0f11996b17617851bf80f1e72dbe24cc6ec6058d82191174b

BAT勒索软件(BV:Ransom-E[Trj])

FA54EC3C32F3FB3EA9B986E0CFD2C34F8D1992E55A317A2C15A7C4E8CA7BC4

此分析由Jaromir Horejsi和Honza Zika共同完成。

感谢您使用avast!并向您的朋友和家人推荐我们。有关所有最新新闻、娱乐和竞赛信息,请在Facebook、Twitter和Google+上关注我们。企业主–查看我们的企业产品。

热门推荐
  • cdn防御cc_防cc脚本一键安装_快速接入

      欢迎收看另一期"支付专业人士的自白"。本周的揭秘:在2020年3月之前,我从未在手机上使用过银行应用程序的手机存款功能......

    03-18    来源:长虹华伟

    分享
  • 高防ddos_cc攻击防御xinng_秒解封

      上周,在德国柏林举行的第28届混沌通信大会上,哥伦比亚大学的研究人员angchui和jonathanvoris展示了他们关于远程入侵惠普打......

    11-22    来源:长虹华伟

    分享
  • 云盾_日本高防服务器_无限

      对智能照明物联网设备的攻击有朝一日会使智能建筑重回黑暗时代。在过去的十年里,物联网(IoT)出现了许多有趣的发明。......

    04-19    来源:长虹华伟

    分享
  • 防ddos_防ddos攻击产品_无缝切换

      我们新的LDAP或RADIUS接口允许LDAP和RADIUS客户端通过OneLogin对用户进行身份验证。许多尚不支持SAML的应用程序能够将身份验证委......

    04-22    来源:长虹华伟

    分享
  • 云防护_服务器防断电设备_如何防

      弗吉尼亚州赫恩登,2010年9月27日——堪萨斯州美国财产和金融办公室授予诺斯罗普·格鲁曼公司(Northrop Grumman Corporation)(纽......

    11-11    来源:长虹华伟

    分享
  • 云防护_棋牌app高防_快速接入

      洛杉矶,2010年11月11日--诺斯罗普格鲁曼公司(纽约证券交易所:NOC)获得了筹款专业人士协会(AFP)大洛杉矶分会颁发的杰出企......

    11-10    来源:长虹华伟

    分享
  • 香港高防ip_防ddos服务_原理

      新闻要闻企业安全运营中心的调查发现,93%的受访者承认无法对所有潜在的网络威胁进行分类。平均而言,组织无法充分调查......

    03-07    来源:长虹华伟

    分享
  • 香港高防cdn_服务器防御高防_如何解决

      各种规模的组织每天都受到抗击COVID-19所需政策的影响。安全是人类面临的挑战,需要了解人们面临的驱动因素。这是系列文......

    11-08    来源:长虹华伟

    分享
  • 服务器安全防护_cdn防御系统_指南

      在我的大学时代,我在一个乐队弹吉他,这是很少容易的。在我的卧室里练习,这样我就可以学会如何正确地演奏这首歌是很......

    06-17    来源:长虹华伟

    分享
  • 云盾高防采集_网站防护多少钱_解决方案

      网络间谍活动呈上升趋势:2011年是公司和政府机构安全漏洞最严重的一年社交网络是网络骗子窃取用户数据的首选武器针对......

    11-05    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。