欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击

b9e08c31ae1faa592019-04-0536

假装巨匠——XLoader新变种剖析

在之前的攻击活动中,XLoader伪装成Facebook, Chrome和其他合法应用来引诱用户下载其恶意App。Trend Micro研究人员近日发现一个使用新方法来诱骗用户的XLoader新变种。该XLoader变种伪装成安卓设备的安全App,并使用恶意iOSProfile来影响

一、事宜概述

近日,深佩服平安团队接到包孕金融行业在内的多家企业反应,其内部员工收到可疑邮件。邮件发件人显现为“National Tax Service”(译为“国家税务局”),邮箱地点为[email protected],企图伪装成美国政府专用的邮箱地点gov.us,邮件内容是传讯收件人作为被指控的人审问,细致内容在附件文档中:

1554359827599938.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第1张

附件压缩包中包罗两个文件,看起来像是跟案件有关的文档文件,后缀为“.docx”。看到这两个文档,想必此时“深陷讼事”的收件人肯定想点开来一看终究,却不知如许恰好落入不法分子的骗局:

1554359835400315.jpg 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第2张

当设置作废“隐蔽已知文件范例的扩展名”后,两个伪装成文档的文件露出了它的真面目,它们实际上是两个exe文件。

1554359849618020.jpg 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第3张

这两个文件的实在身份实际上是GandCrab5.2讹诈病毒。GandCrab讹诈病毒是2018年讹诈病毒家属中最活泼的家属,该讹诈病毒初次涌现于2018年1月,在快要一年的时刻内,阅历了五个大版本的更新迭代,此讹诈病毒的流传沾染多式多种多样,运用的手艺也赓续晋级,讹诈病毒主要运用RSA密钥加密算法,致使加密后的文件,没法被解密。

GandCrab5.2为GandCrab家属最新变种,近期在国内较多的以投递歹意邮件的体式格局举行进击,邮件内容一般带有吓唬性子。若是收件人失慎点开邮件附件,将会遭到讹诈进击。深佩服在此提示宽大用户,郑重翻开来历不明的邮件。

二、样本剖析

1.GandCrab5.2一样运用了代码殽杂等手艺,防备平安剖析职员对样本举行剖析,以下所示:

1554359858913553.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第4张

2.一样网络中毒主机的相干信息,以下所示:

1554359869463049.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第5张

3.猎取GandCrab的版本信息5.2,以下所示:

1554359884577974.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第6张

4.建立互斥变量,以下所示:

1554359908540070.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第7张

5.解密出新的RSA密钥信息,以下所示:

1554359919236961.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第8张

6.从内存中解密出响应的后缀信息,以下后缀文件名,不举行加密,以下所示:

1554359930862445.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第9张

7.加密响应的后缀名的文件,以下所示:

1554359948409524.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第10张

8.设置响应的密钥注册表项,以下所示:

1554359959559860.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第11张

设置完以后,以下所示:

1554359969935644.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第12张

9.解密出响应的讹诈信息,以下所示:

1554359980284808.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第13张

-------------------------------------

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

-------------------------------------

10.一样若是在一些目录下,则不举行加密,以下所示:

1554359992104340.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第14张

11.讹诈信息写入到讹诈信息文本文件中,以下所示:

1554360009298586.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第15张

响应的讹诈信息,以下所示:

1554360018682081.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第16张

12.遍历加密响应的文件,以下所示:

1554360027889206.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第17张

13.加密后的文件为之前在内存中解密天生的随机文件名后缀,以下所示:

1554360037885745.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第18张

加密后的文件,以下所示:

1554360056128975.jpg 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第19张

14.一样与长途服务器举行通讯,地点与之前GandCrab5.1一样,以下所示:

1554360065282174.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第20张

服务器地点:www.kakaocorp.link

15.末了变动主机配景,以下所示:

1554360121460287.png 小心!GandCrab5.2讹诈病毒假装国家机关发送垂纶邮件举行进击  第21张

16.讹诈TOR地点,以下所示:

http://gandcrabmfe6mnef.onion/4cccd561a9e9938

整体来讲GandCrab5.2与GandCrab5.1没有多大的更新,基本功能大体一致,加密算法一样运用RSA+Salsa20相结合的加密算法,GandCrab黑产团伙更新GandCrab5.2版本主要是为了应对之前放出的解密对象。

三、解决方案

针对已涌现讹诈征象的用户,由于临时没有解密对象,发起尽快对沾染主机举行断网断绝。深佩服提示宽大用户尽快做好病毒检测与防备步伐,提防该病毒家属的讹诈进击。

病毒防备

深佩服平安团队再次提示宽大用户,讹诈病毒以防为主,现在大部分讹诈病毒加密后的文件都没法解密,注重一样平常提防步伐:

1、实时给电脑打补丁,修复破绽。

2、对主要的数据文件按期举行非当地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、只管封闭不必要的文件同享权限。

5、变动账户暗码,设置强暗码,制止运用一致的暗码,由于一致的暗码会致使一台被攻破,多台遭殃。

6、若是营业上无需运用RDP的,发起封闭RDP。

末了,发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。

假装巨匠——XLoader新变种剖析

在之前的攻击活动中,XLoader伪装成Facebook, Chrome和其他合法应用来引诱用户下载其恶意App。Trend Micro研究人员近日发现一个使用新方法来诱骗用户的XLoader新变种。该XLoader变种伪装成安卓设备的安全App,并使用恶意iOSProfile来影响

网友评论