Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

申博_行业观察 申博 118次浏览 未收录 0个评论

简介

腾讯平安御见要挟情报中间捕获到一例挖矿蠕虫病毒进击事宜,黑客经由过程VNC爆破效劳器弱口令,到手后先下载门罗币挖矿木马,同时在被感染的电脑上离别考证凌驾3300万个邮箱帐号暗码,若考证胜利就向该邮箱发送敲诈讹诈邮件。邮件中要挟:“你已感染了我的私家木马,我晓得你的一切暗码和隐私信息(包含隐私视频),唯一让我停下来的体式格局就是三天内向我付出代价900美圆的比特币。”

我们依据病毒的考证使命体系推想已知受益邮箱帐户凌驾3300万个,包含Yahoo、Google、AOL、微软在内的邮件效劳均在被进击之列。因为主模块编写者为“Burimi”,且具有内网流传才能,腾讯平安专家将其命名为“Burimi”挖矿蠕虫。

详细分析:

木马启动后尝试用内置暗码列表爆破VNC效劳器。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

爆破胜利后会在目的VNC效劳器下载木马程序。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

木马启动后衔接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi”。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

入口处检测虚拟机以及调试器,环境不婚配就会退出。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

禁用平安中间提醒,削减被用户发明的几率。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

拷贝本身到c:\windows\[random]\win[random].exe并设置run启动项,启动项名

Microsoft Windows Driver

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

感染U盘以及收集磁盘,写入antorun.inf

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

挟制剪切板钱包地点,挟制到黑客的钱包地点,现在支撑BTC,XMR等。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

BTC已挟制到0.14697873个。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

从以下域名中下载1.exe~8.exe。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

挖矿模块2.exe

2.exe启动后开释文件:

C:\ProgramData\[random]\cfg

C:\ProgramData\[random]\cfgi

C:\ProgramData\[random]\windrv32

C:\ProgramData\[random]\r.vbs

windrv32挖矿模块,cfg是挖矿相干设置,包含矿池和账号。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

r.vbs设置挖矿模块启动项。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

邮件讹诈模块3.exe

起首接见猎取使命ID(URL暂不宣布),从本次监控到的ID已达1691个。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

每一个使命文件照顾20000个邮箱账户&暗码。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

因而可知,入侵者控制的邮箱帐户数目已凌驾3300万个,包含yahoo、Gmail、Aol、msn、hotmail等美国着名邮箱效劳均受影响。病毒会依据已泄漏的用户暗码来考证暗码正确性,一旦考证胜利,就会向该邮箱发送敲诈讹诈邮件,宣称晓得受益用户的一切暗码,并限时3天交纳代价900美圆的BTC,不然就把用户的一切隐私信息宣布在网上。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

黑客吸收BTC的钱包地点:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,现在看已胜利收到0.01BTC。

Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币

平安发起

1、替换VNC衔接暗码为庞杂暗码,防备相似爆破进击事宜;

2、封闭没必要要的收集文件同享、封闭盘算的U盘自动播放等功能,削减中毒能够;

3、推想进击者运用了已泄漏的大批邮箱帐号做进击尝试,我们发起运用yahoo、Gmail、Aol、msn、hotmail邮箱的网友,

在收到讹诈邮件以后,没必要过分惊愕,没必要付出比特币。注重变动邮箱帐号暗码,启用两重考证,确保帐号平安。

也能够按以下步骤手工清算。

删除文件:

C:\ProgramData\FtqBnjJnmF[random]\cfg

C:\ProgramData\FtqBnjJnmF[random]\cfgi

C:\ProgramData\FtqBnjJnmF[random]\windrv32

C:\ProgramData\FtqBnjJnmF[random]\r.vbs

c:\windows\48940040500568694\v.exe

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random]

删除注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver

IOCs

钱包

1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17

1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw

qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk

24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97t7VaTr

XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D

DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh

0x8b7f16faa3f835a0d3e7871a1359e45914d8c344

LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF

PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS

Gartner:2019年七大平安和风险趋向

首席信息安全官们应该了解最新的网络安全发展趋势,以及这些趋势可能会对创建一个有弹性且有准备的组织造成的影响。 在一次商业战略会议上,一家国家交通运输系统的首席信息安全官播放了一张幻灯片,内容是该机构的拟定风险偏好(指个体

t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca

URL

soruuoooshfrohuo.su

aoruuoooshfrohuo.su

roruuoooshfrohuo.su

toruuoooshfrohuo.su

toruuoooshfrohuo.su

uoruuoooshfrohuo.su

foruuoooshfrohuo.su

zeruuoooshfrohuo.su

zzruuoooshfrohuo.su

bbruuoooshfrohuo.su

soruuoooshfrohoo.su

aoruuoooshfrohoo.su

roruuoooshfrohoo.su

toruuoooshfrohoo.su

toruuoooshfrohoo.su

uoruuoooshfrohoo.su

foruuoooshfrohoo.su

zeruuoooshfrohoo.su

zzruuoooshfrohoo.su

bbruuoooshfrohoo.su

soruuoooshfrohlo.su

aoruuoooshfrohlo.su

roruuoooshfrohlo.su

toruuoooshfrohlo.su

toruuoooshfrohlo.su

uoruuoooshfrohlo.su

foruuoooshfrohlo.su

zeruuoooshfrohlo.su

zzruuoooshfrohlo.su

bbruuoooshfrohlo.su

soruuoooshfrohfo.su

aoruuoooshfrohfo.su

roruuoooshfrohfo.su

toruuoooshfrohfo.su

toruuoooshfrohfo.su

uoruuoooshfrohfo.su

foruuoooshfrohfo.su

zeruuoooshfrohfo.su

zzruuoooshfrohfo.su

bbruuoooshfrohfo.su

ssofhoseuegsgrfnj.su

unokaoeojoejfghr.ru

osheoufhusheoghuesd.ru

fafhoafouehfuh.su

auoegfiaefuageudn.ru

aiiaiafrzrueuedur.ru

osuhughgufijfi.ru

agnediuaeuidhegsf.su

ouhfuosuoosrhfzr.su

agnediuaeuidhegsf.su

unokaoeojoejfghr.ru

URL

hxxp://thaus.to\1.exe

hxxp://thaus.to\2.exe

hxxp://thaus.to\3.exe

hxxp://thaus.to\4.exe

hxxp://thaus.to\5.exe

hxxp://thaus.to\6.exe

hxxp://thaus.to\7.exe

hxxp://thaus.to\8.exe

IP

193.32.161.77

193.32.161.69

MD5

ef7ffba4b98df751763464f404d3010c

f895a1875b3e112df7e4d548b28b9927

1d843f799da25d93d370969e126c32fa

3e26d2428d90c95531b3f2e700bf0e4c

33e45f80f9cbfd841242e8bb4488def1

原文地点: https://www.4hou.com/encrypted/19127.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Burimi挖矿蠕虫进击超3300万个邮箱,发送敲诈邮件讹诈比特币
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址