新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

MalwareHunterTeam 的平安研讨人员发明了一款讹诈软件变种 ——“FireCrypt”,它不只具有一样平常讹诈软件的特征,会将受沾染的体系文件歹意加密,以至还会试图应用受沾染者机械,向其源码中硬编码的 URL 地点,提议小规模的 DDoS 进击。

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

 一样平常特征:讹诈功用

一旦,歹意 EXE 文件被触发,FireCrypt 将杀死计算机的义务管理器( taskmgr.exe )并运用 AES-256 加密算法加密 20 种文件范例。一切加密文件都邑增添“ .firecrypt ”的扩展名,加密完成后就会索要 500 美圆赎金。FireCrypt 和讹诈软件 “Deadly for a Good Purpose” 源代码很相似,都运用源代码的电子邮件和比特币地点,很有多是“Deadly for a Good Purpose”讹诈软件的升级版。

另类特征:DDoS 功用

FireCrypt 源码中含一个硬编码的 URL 地点,讹诈软件会不断地衔接该 URL 下载响应内容并存储在%Temp% 磁盘文件名下,同时命名为 [random_chars]-[connect_number].html 。

该 URL 为巴基斯坦电信管理局的官网地点,讹诈软件作者称该功用为“ DDoSer”并愿望借此发起 DDoS 进击,不外沾染装备最少要到达上万台能力到达进击效果。

详细剖析申报

以下是 MalwareHunterTeam 和 Lawrence Abrams 供应的对该歹意软件的剖析申报:

FireCrypt作为一个讹诈软件构建套件 

歹意软件一般是从源码编译天生,或许运用主动化软件来天生,这类软件会接纳某些特定的输入参数,进而在per-campaign的基本上输入一个歹意软件的有效载荷。后者在业内被称为歹意软件构建器,一般为命令行应用程序或基于GUI 的对象。

而 FireCrypt 讹诈软件的开辟者则运用的是命令行应用程序,在运用历程中,该应用程序会主动将 FireCrypt 的样本文件放在一同,许可他修正基本设置,而无需运用轻巧的 IDE来反复编译源码了。

FireCrypt 的构建器名为 “BleedGreen”,许可 FireCrypt 开辟者来天生一个奇特的讹诈软件可实行文件,给它自定义一个名字,并运用个性化的文件图标等。与其他讹诈软件构建器比拟,BleedGreen 是一个异常低端的构建器。由于一样平常而言,相似的构建器一般都具有一套更加完美的自定义选项,比方有比特币收付款地点、赎金请求值、电子邮件联系地点等等设置选项。

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

构建器“BleedGreen”的脚色除将天生的可实行文件 EXE伪装为 PDF 或 DOC 的图标外,还会对讹诈软件的二进制文件做纤细的修改,以便在每次编译时,都能天生一个具有分歧哈希值的文件。

该手艺经常被歹意软件开辟人员用来建立所谓的“多态歹意软件”,旨在增添杀毒软件的查杀难度。依据MalwareHunterTeam 所言,“BleedGreen” 构建器是一款异常低端和基本的讹诈软件构建器,以是它并不能完成真正意义上免杀。

然则这也通知我们,FireCrypt 的开辟者最少是具有肯定的歹意软件开辟履历,而不是一个只会从 GitHub 下载开源讹诈软件的剧本小子。

FireCrypt 沾染历程 

FireCrypt的沾染历程取决于讹诈软件的分发者可否胜利诱使目的用户启动天生的 EXE 可实行文件。

一旦天生的歹意 EXE 文件被触发,那末FireCrypt 将杀死计算机的义务管理器(taskmgr.exe)历程,并运用 AES-256 加密算法加密 列表中的20 种文件范例。

一切被加密文件的原始文件名和扩展名都将附加“.firecrypt”后缀。比方,名为 photo.png 的文件,将被重命名为 photo.png.firecrypt。

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

一旦文件加密历程完毕,FireCrypt 就会在桌面弹框中正告用户按其请求领取响应的赎金。

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

【FireCrypt讹诈赎金弹框】

值得注意的是,该赎金弹框与客岁 10月14日MalwareHunterTeam平安研讨小组发明的一款讹诈软件的赎金弹框几乎是一样的。

 

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

【Deadly for a Good Purpose讹诈赎金弹框】

当2016年10月发明“Deadly for a Good Purpose”讹诈软件时,它彷佛还处于开辟阶段。由于只要进入到2017年,其源代码才会实行文件加密历程。

与FireCrypt比拟,独一分歧的是,客岁发明的那款讹诈软件在赎金弹框顶部安排了一个相似 logo 的标记,而 FireCrypt 却移除这个标记。然则,经由过程仔细检查“Deadly for a Good Purpose”的源代码,MalwareHunterTeam 发明这两款讹诈软件运用了相反的电子邮件和比特币地点,这就意味着两者之间存在联系关系,FireCrypt 极有多是“Deadly for a Good Purpose”讹诈软件的升级版。

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

用垃圾文件填满你的硬盘驱动器的DDoS功用

索要赎金后, FireCrypt并不会停止其歹意行动。它的源代码中包罗一个衔接函数,该函数会延续不断地衔接到近程的一个 URL 地点中,并下载一些垃圾文件,随后将其主动生存在你硬盘的 %Temp% 文件下,同时命名为 [random_chars]-[connect_number].html。

若是用户没有意想到这个函数,FireCrypt 将会在短时间内用垃圾文件敏捷填满你的 %Temp% 文件夹。

以后该版本的 FireCrypt 讹诈软件,将会从近程衔接并下载 http://www.pta.gov.pk/index.php 上的内容,该 URL 为巴基斯坦电信管理局的官网地点。现在,我们没法运用讹诈软件的构建器修正此 URL。

新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击 新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击

FireCrypt 的开辟者将此功用称为 “DDoSer”,他必需沾染不计其数台的机械,才有可能对巴基斯坦电信管理局的官网提议 DDoS 进击。另外,一切受沾染的计算机,都必需处于连网状况,只要如许能力介入到其提议的 DDoS 的进击。 

目的文件扩展名:

.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent

与 FireCrypt 讹诈软件相干的文件:

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable
%Desktop%\[random_chars]-READ_ME.html - Ransom Note
%AppData%\SysWin32\files.txt - List of Encrypted Files
%Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files
%Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack

与 FireCrypt 讹诈软件相干的哈希值:

“BleedGreen”构建器(VirusTotal 扫描效果显现只要2/57的杀毒软件以为它是歹意软件):

SHA-256:e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d

一个 FireCrypt 讹诈软件二进制示例(VirusTotal 扫描效果显现13/57的杀毒软件以为它是歹意软件):

SHA-256:d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f

电子邮件地点和付款联系人:

电子邮箱: gravityz3r0@sigaint.org

停止现在,还没有平安公司宣布解密对象来规复这些被加密的文件。因而,一旦你沾染了这类讹诈软件,想要在短时间内规复文件,则可能不得不按请求领取 500 美圆的赎金来解锁。若是受害者不愿望领取 500 美圆赎金敏捷解密文件,则需耐烦守候解密对象宣布并保留好被加密文件的正本。

本文翻译于securitynewspaper,如若转载,请说明来源于嘶吼: http://www.4hou.com/info/news/2915.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明新讹诈软件 FireCrypt 另类特征可完成 DDoS 进击
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址