使用新的加密例程观察到JobCrypter勒索软件的一种变体,该软件具有将受害者桌面的屏幕截图发送到电子邮件地址的功能。 除了两次加密文件外,勒索记录在同一个加密文件中也能找到。 发现时,趋势科技机器学习和行为检测技术已主动阻止了JobCrypter的这种变体。
例程
在野外观察到新的JobCrypter样本(由趋势科技检测为RANSOM.WIN32.JOBCRYPTER.THOAAGAI),据报道在可疑的受感染网站上看到。 尽管该恶意软件的安装和启动过程与2017年攻击类似,但此示例添加了一个例程,该例程通过SMTP将受害者的桌面和系统信息的屏幕快照发送到电子邮件地址。 它还会删除它创建的注册表 HKCU \ Software \ MOI 。
图1. JobCrypter的新例程包括捕获受感染单位屏幕的屏幕截图。
图2.恶意软件将桌面截图和系统信息发送到电子邮件地址。 3. JobCrypter的网络活动。 根据分析,发送到电子邮件地址的信息包括系统的运行进程,卷序列号,计算机名称和67位加密/解密密钥。
受感染机器的墙纸更改为包括赎金记录和一个用于显示网络分子的赎金要求和指示的显示框。
图4.桌面墙纸更改为赎金记录。
还会出现一个显示框,其中包含一个文本框和一个显示“取消阻止我的文件”的按钮,以及一个显示“没有密码? 点击这里。” 单击后,将通过记事本打开%Desktop%\ Commentdébloquermes fichiers.txt 。 如果被感染机器的用户具有解密密钥(在删除之前在注册表 HKCU \ Software \ MOI 中找到),则勒索软件将使用输入文本对%User Profile%\ ntuser进行解密。 ini.css。 如果成功,它将继续解密所有扩展名为 .css 的文件,删除其创建的注册表,包括自动启动注册表,删除的文件以及恶意软件本身。 否则,将出现另一个消息框,显示文本“ 无效的传递”或“无效的密码”。
图5。显示的消息还显示“所有文件都已加密。 没有密码? 单击此处”和“取消阻止我的文件”按钮。
[阅读:垃圾邮件中的JavaScript恶意软件传播勒索软件,矿工,软件,蠕虫病毒]
此勒索软件变体具有一些独特的例程。 找到文件后,它将文件的所有内容编码为Base64,并使用Triple DES算法加密编码的内容,然后再次将加密的文件编码为Base64。 它还会在勒索便笺上添加加密文件,而不是像大多数勒索软件例程一样在最终删除驱动器中的原始文件之前删除系统中的另一个文件。 所有加密的文件都更改为 .css 扩展名。
图6.恶意软件将文件内容编码为Base64。 图7.编码的文件用Triple DES加密,然后进一步编码。
图8.在加密的文件中找到了赎金记录,并且从驱动器中删除了原始文件。
赎金通知书要求在24小时内支付1000欧元,以获取解密器。 该密钥由67位数的0到9之间的随机数组成(可在注册表和已发送电子邮件的正文中找到),但在文件加密期间被恶意软件本身删除。 由于用于加密文件的密钥在删除之前就已存在于系统中,因此解密是可能的。 经验丰富的网络安全从业人员会注意到并知道,尽管惯例非常规,但赎金记录始终以“;”结尾 并且位于加密文件内容之前,从而可以恢复重要的数据文件。
[阅读:勒索软件MongoLock立即删除文件,格式化备份驱动器]
JobCrypter是新的勒索软件家族之一,在2017年初影响了数以千计的企业和个人。我们可以预期,网络分子将继续探索新技术并将其与旧恶意软件和工具结合起来,渗透到系统中以牟取暴利。 这些最佳做法可以帮助抵御这种威胁: 定期从合法供应商处下载更新和补丁。 安装可以扫描和阻止恶意URL的多层安全解决方案。 练习3-2-1系统备份文件。
趋势科技解决方案
Trend Micro Smart Protection Suites™可以主动检测并阻止此威胁。
妥协指标
SHA256
检测
37e28559fba615aee1204eebf551dc588f7dc 5b8a7e11893a1602da40b03f4fb RANSOM.WIN32.JOBCRYPTER.THOAAGAI
,还有Raphael Cente no和Warren Sto的其他见解。 托马斯
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢