小心x3m讹诈病毒:CryptON | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小心x3m讹诈病毒:CryptON

申博_新闻事件 申博 126次浏览 未收录 0个评论

网络安全巴士站

网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

一、样本简介

CryptON讹诈病毒最早涌现在2017年2月份摆布,曾有多家企业遭到进击,近日深佩服平安服团队吸收客户反应,主机被加密讹诈,加密后缀为x3m,经由跟踪剖析,拿到了响应的样本,确认样本为CryptON讹诈病毒的变种版本,并对此讹诈病毒样本举行深切的剖析。

二、讹诈特性

1.加密后的文件后缀为id-[数字]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m,以下所示:

小心x3m讹诈病毒:CryptON

2.讹诈信息图片信息CVZRPKPA59ZMCHK9B.bmp,以下所示:

小心x3m讹诈病毒:CryptON

3.讹诈超文本文件信息###HOW TO DECRYPT FILES ###.html,以下所示:

小心x3m讹诈病毒:CryptON

三、详细剖析

1.经由过程解密函数,猎取局部函数地点,以下所示:

小心x3m讹诈病毒:CryptON

2.在内存中解密出响应的讹诈信息相干数据,以下所示:

小心x3m讹诈病毒:CryptON

解密出来的数据,以下:

小心x3m讹诈病毒:CryptON

3.经由过程多个解密函数,猎取函数地点,以下所示:

小心x3m讹诈病毒:CryptON

4.猎取主机APPDATA、LOCALAPPDATA、USERNAME、USERPROFILE变量值,以下所示:

小心x3m讹诈病毒:CryptON

5.推断历程运转权限是不是为管理员权限,以下所示:

小心x3m讹诈病毒:CryptON

6.猎取主机地区信息,以下所示:

小心x3m讹诈病毒:CryptON

若是主机地区为:RU(俄罗斯联邦)、KZ(哈萨克斯坦)、BY(白俄罗斯)、UA(乌克兰),则退出顺序,以下所示:

小心x3m讹诈病毒:CryptON

7.设置自启动注册表项,以下所示:

小心x3m讹诈病毒:CryptON

8.推断主机是不是联网,若是不联网,则退出顺序,以下所示:

小心x3m讹诈病毒:CryptON

然后再天生一个[原文件]+[bat]的批处理文件,举行自删除操纵,以下所示:

小心x3m讹诈病毒:CryptON

批处理内容,以下所示:

小心x3m讹诈病毒:CryptON

9.建立互斥变量,防备顺序屡次运转,以下所示:

小心x3m讹诈病毒:CryptON

完美替身?让我们一起看一看骗子绕过反欺诈保护的最新方法

根据Juniper研究人员的最新研究报告,网络犯罪分子已经开发出了大量绕过反欺诈安全保护机制的攻击工具。在这些工具的帮助下,网络犯罪分子可以有效地绕过基于机器学习的反欺诈安全保护策略。除此之外,卡巴斯基的安全研究人员也在暗网市场上发现了一个商城(名为Genesis),而这个商城的所有者就是开发那些反欺诈安全保护绕过工具的那群网络犯罪分子。 Juniper的安全研究人员表示,到2023年,全球在线支付/交易欺诈金额将上升至430亿美元以上,而这个金额几乎是2018年(220亿美元)的两倍之多。卡巴斯基的安全研究人员也在他们的博客中提到,鉴于网络犯罪分子在开发恶意软件与安全保护机制绕过工具方面的进展,出现这种情况也不足为奇。他们认为:“即使2023年涉案金额翻倍,这也没什么好奇怪的,因为网络犯罪分子每天都在开发新的方法和工具来绕过我们现有的反欺诈安全保护系统,他们所开发的恶意软件可以帮助他们进行恶意攻击活动,创建恶意服务,甚至是实现暗网开店,而且他们还搭建了各种暗网论坛来跟全球网络犯罪分子讨论这些方面的内容。” Genesis就是这群网络犯罪分子搭建的一个暗网商城,来自全球各地的网络犯罪分子都可以在这个地方轻松交易伪造的数字凭证,并通过

10.建立线程,加密文件,以下所示:

小心x3m讹诈病毒:CryptON

11.建立线程,猎取主机相干信息,上传到长途服务器,以下所示:

小心x3m讹诈病毒:CryptON

12.读取资本文件ID号CVZRPKPA59ZMCHK9T的数据,以下所示:

小心x3m讹诈病毒:CryptON

解密出资本的数据,然后写入到天生的讹诈信息超文件本件,以下所示:

小心x3m讹诈病毒:CryptON

13.遍历磁盘目次文件,以下所示:

小心x3m讹诈病毒:CryptON

罗列同享目次文件,以下所示:

小心x3m讹诈病毒:CryptON

14.加密文件,以下所示:

小心x3m讹诈病毒:CryptON

加密后的文件,后缀名为id-[数字]_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m,以下所示:

小心x3m讹诈病毒:CryptON

15.将资本ID为CVZRPKPA59ZMCHK9T的数据解密出来,获得讹诈信息,写入到文本文件CVZRPKPA59ZMCHK9T,以下所示:

小心x3m讹诈病毒:CryptON

16.将资本ID为CVZRPKPA59ZMCHK9B的数据解密出来,获得讹诈信息,写入到图片文件

CVZRPKPA59ZMCHK9B,以下所示:

小心x3m讹诈病毒:CryptON

17.接纳POST的体式格局,上传主机相干信息到长途服务器地点,服务器URL相干地点:http://paris-style.ru/forum/clientscript/ie7/graphic/qp50x.php,以下所示:

小心x3m讹诈病毒:CryptON

猎取到的数据包信息,以下所示:

小心x3m讹诈病毒:CryptON

四、解决方案

针对已涌现讹诈征象的用户,由于临时没有解密东西,发起尽快对沾染主机举行断网断绝。深佩服提示宽大用户尽快做好病毒检测与防备步伐,提防该病毒家属的讹诈进击。

病毒检测查杀

1、深佩服为宽大用户免费供应查杀东西,可下载以下东西,举行检测查杀。

64位体系下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位体系下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防备

深佩服平安团队再次提示宽大用户,讹诈病毒以防为主,现在大局部讹诈病毒加密后的文件都没法解密,注重一样平常提防步伐:

1、实时给电脑打补丁,修复破绽。

2、对主要的数据文件按期举行非当地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、只管封闭不必要的文件同享权限。

5、变动账户暗码,设置强暗码,制止运用一致的暗码,由于一致的暗码会致使一台被攻破,多台遭殃。

6、若是营业上无需运用RDP的,发起封闭RDP。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小心x3m讹诈病毒:CryptON
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址