小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

申博_新闻事件 申博 265次浏览 已收录 0个评论

假装巨匠——XLoader新变种剖析

在之前的攻击活动中,XLoader伪装成Facebook, Chrome和其他合法应用来引诱用户下载其恶意App。Trend Micro研究人员近日发现一个使用新方法来诱骗用户的XLoader新变种。该XLoader变种伪装成安卓设备的安全App,并使用恶意iOSProfile来影响

一、事宜概述

近日,深佩服平安团队接到包孕金融行业在内的多家企业反应,其内部员工收到可疑邮件。邮件发件人显现为“National Tax Service”(译为“国家税务局”),邮箱地点为[email protected],企图伪装成美国政府专用的邮箱地点gov.us,邮件内容是传讯收件人作为被指控的人审问,细致内容在附件文档中:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

附件压缩包中包罗两个文件,看起来像是跟案件有关的文档文件,后缀为“.docx”。看到这两个文档,想必此时“深陷讼事”的收件人肯定想点开来一看终究,却不知如许恰好落入不法分子的骗局:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

当设置作废“隐蔽已知文件范例的扩展名”后,两个伪装成文档的文件露出了它的真面目,它们实际上是两个exe文件。

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

这两个文件的实在身份实际上是GandCrab5.2讹诈病毒。GandCrab讹诈病毒是2018年讹诈病毒家属中最活泼的家属,该讹诈病毒初次涌现于2018年1月,在快要一年的时刻内,阅历了五个大版本的更新迭代,此讹诈病毒的流传沾染多式多种多样,运用的手艺也赓续晋级,讹诈病毒主要运用RSA密钥加密算法,致使加密后的文件,没法被解密。

GandCrab5.2为GandCrab家属最新变种,近期在国内较多的以投递歹意邮件的体式格局举行进击,邮件内容一般带有吓唬性子。若是收件人失慎点开邮件附件,将会遭到讹诈进击。深佩服在此提示宽大用户,郑重翻开来历不明的邮件。

二、样本剖析

1.GandCrab5.2一样运用了代码殽杂等手艺,防备平安剖析职员对样本举行剖析,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

2.一样网络中毒主机的相干信息,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

3.猎取GandCrab的版本信息5.2,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

4.建立互斥变量,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

5.解密出新的RSA密钥信息,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

6.从内存中解密出响应的后缀信息,以下后缀文件名,不举行加密,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

7.加密响应的后缀名的文件,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

8.设置响应的密钥注册表项,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

设置完以后,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

9.解密出响应的讹诈信息,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

10.一样若是在一些目录下,则不举行加密,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

11.讹诈信息写入到讹诈信息文本文件中,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

响应的讹诈信息,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

12.遍历加密响应的文件,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

13.加密后的文件为之前在内存中解密天生的随机文件名后缀,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

加密后的文件,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

14.一样与长途服务器举行通讯,地点与之前GandCrab5.1一样,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

服务器地点:www.kakaocorp.link

15.末了变动主机配景,以下所示:

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

16.讹诈TOR地点,以下所示:

http://gandcrabmfe6mnef.onion/4cccd561a9e9938

整体来讲GandCrab5.2与GandCrab5.1没有多大的更新,基本功能大体一致,加密算法一样运用RSA+Salsa20相结合的加密算法,GandCrab黑产团伙更新GandCrab5.2版本主要是为了应对之前放出的解密对象。

三、解决方案

针对已涌现讹诈征象的用户,由于临时没有解密对象,发起尽快对沾染主机举行断网断绝。深佩服提示宽大用户尽快做好病毒检测与防备步伐,提防该病毒家属的讹诈进击。

病毒防备

深佩服平安团队再次提示宽大用户,讹诈病毒以防为主,现在大部分讹诈病毒加密后的文件都没法解密,注重一样平常提防步伐:

1、实时给电脑打补丁,修复破绽。

2、对主要的数据文件按期举行非当地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、只管封闭不必要的文件同享权限。

5、变动账户暗码,设置强暗码,制止运用一致的暗码,由于一致的暗码会致使一台被攻破,多台遭殃。

6、若是营业上无需运用RDP的,发起封闭RDP。

末了,发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。

假装巨匠——XLoader新变种剖析

在之前的攻击活动中,XLoader伪装成Facebook, Chrome和其他合法应用来引诱用户下载其恶意App。Trend Micro研究人员近日发现一个使用新方法来诱骗用户的XLoader新变种。该XLoader变种伪装成安卓设备的安全App,并使用恶意iOSProfile来影响


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址