流氓会武功 | 这款勒索软件不仅能勒索,还能DDoS

一款名为 FireCrypt 的勒索软件正悄然来袭。它不仅具备一般勒索软件的特性,会将受感染的系统文件恶意加密。还会试图利用受感染者机器,向其源码中硬编码的 URL 地址,发起微弱的 DDoS 攻击。

这个新型勒索软件,是由 MalwareHunterTeam (恶意软件猎人小组)发现的。以下是 MalwareHunterTeam 和 Lawrence Abrams 提供的对该恶意软件的分析报告。

作为勒索软件构建套件的 FireCrypt

恶意软件通常通过从源码编译生成,或者通过软件来自动生成,自动化软件会采用某些输入参数,并以此来定制恶意软件的有效载荷。

后者在业内,被称为恶意软件构建器,一般都为 命令行 应用程序或 GUI 的工具。

而 FireCrypt 勒索软件的作者,则使用的是命令行应用程序。在使用过程中,该应用程序会自动将 FireCrypt 的样本文件放在一起,允许他修改基本设置,而不需要再使用笨重的 IDE,重复编译源码了。

FireCrypt 的构建器,被命名为 BleedGreen(见下文),它允许 FireCrypt 作者,给勒索软件自定义名称,并使用个性化图标,来生成一个独特的勒索软件可执行文件。与其他勒索软件构建器相比,BleedGreen 算是一个比较低端的构建器。

与其他类似的构建器相比,它的自定义选项少的可怜。例如某些类似的构建器,还会有比特币收付款地址,赎金值,电子邮件联系地址等设置选项。

BleedGreen 除了可以将生成的可执行文件 EXE ,伪装为 PDF 或 DOC 的图标外,它还会对勒索软件的二进制文件做细微的改动,以便在每次编译时,都能生成一个具有不同哈希值的文件。

该技术经常被恶意软件开发人员,用来创建所谓的“多态性恶意软件”,这样做的目的就是尽可能的躲避杀毒软件的查杀。

根据MalwareHunterTeam 的介绍,“BleedGreen 构建器是一款非常低端和基础的勒索软件构建器,因此它并不能真正意义上实现免杀。”

不过从这也可以看出,FireCrypt 的作者还是具备一定的恶意软件开发经验的,而不是一个只会从 GitHub 下载开源勒索软件的脚本小子。

FireCrypt 感染过程

能否将 FireCrypt 感染给目标系统,取决于勒索软件的分发者能否成功诱使目标用户启动生成的 EXE 可执行文件。

一旦生成的恶意 EXE 文件被成功触发,那么 FireCrypt 将会杀死计算机的任务管理器(taskmgr.exe)进程,并使用 AES-256 加密算法,对列表中的 20 个文件类型进行加密。

所有被加密文件的原始文件名和扩展名都将附加“.firecrypt”后缀。例如,名为 photo.png 的文件,将被重命名为 photo.png.firecrypt。

一旦文件加密过程结束,FireCrypt 就会在桌面,弹框警告用户按其要求支付相应的赎金,以此来换取文件的解锁。

据 MalwareHunterTeam 介绍说,该赎金弹框与去年 10月14日 小组发现的一款勒索软件的赎金弹框几乎是一样的。

当时发现该勒索软件时,好像还处于开发阶段并未成型。直到今年才发现,有受感染机器的文件被加密。

唯一不同的是,去年发现的那款勒索软件在赎金弹框顶部放置了一个类似 logo 的标志,而 FireCrypt 却移除了这个标志。

但是,通过仔细检查 Deadly 的源代码,MalwareHunterTeam 发现这两款勒索软件,使用的电子邮件和比特币地址相同,这表明两者之间紧密相关,FireCrypt 极有可能是 Deadly 这款勒索软件的升级版。

DDoS 之用垃圾文件填充你的硬盘驱动器

除了加密受感染用户文件并向用户索要赎金外, FireCrypt 还会调用其源码包含的一个函数,该函数会持续不断地连接到远程的一个 URL 地址,下载一些垃圾文件,并自动将其保存在你硬盘的 %Temp% 文件下,同时命名为 [random_chars]-[connect_number].html。

如果用户不知道这个功能,FireCrypt 将会在短时间内,将垃圾文件迅速填充满你的 %Temp% 文件夹。

当前该版本的 FireCrypt 勒索软件,将会从远程连接并下载 http://www.pta.gov.pk/index.php 上的内容,该 URL 为巴基斯坦电信管理局的官网地址。

当前,我们无法使用勒索软件的构建器修改此 URL。

FireCrypt 的作者将此功能称为 “DDoSer”,他必须感染成千上万台的机器,才有可能对巴基斯坦电信管理局的官网发起 DDoS 攻击。

此外,所有受感染的计算机,都必须处于连网状态,只有这样才能参与到其发起的 DDoS 的攻击。

截至这篇文章发布,还没有发现有效方法来恢复这些被加密的文件。

因此,一旦你感染了这种勒索软件,想要在短时间内恢复文件,则可能不得不按要求支付 500 美元 的赎金来解锁。相反,如果你实在不愿意或无力支付这笔赎金。那么,请务必保留好这些被加密文件的副本,或许不久以后就会有人放出它的解密器。

定位文件扩展名:

.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent

与 FireCrypt 勒索软件相关联的文件:

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\[random_chars].exe - Startup Executable%Desktop%\[random_chars]-READ_ME.html - Ransom Note%AppData%\SysWin32\files.txt - List of Encrypted Files%Desktop%\random_chars]-filesencrypted.html - List of Encrypted Files%Temp%\random_chars]-[connect_number].html - Files downloaded during the DDoS attack

与 FireCrypt 勒索软件相关的哈希值:

leedGreen 构建器(当前 VirusTotal 扫描结果显示,在 57 款杀毒软件检测中,只有 2 款杀毒软件,认为它是恶意软件):

SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d

一个 FireCrypt 勒索软件二进制示例(当前 VirusTotal 扫描结果显示,在 57 款杀毒软件检测中,只有 13 款杀毒软件,认为它是恶意软件):

SHA-256: d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f

电子邮件地址和付款联系人:

EMAIL: gravityz3r0@sigaint.org

Source:https://www.bleepingcomputer.com/

*参考来源 securitynewspaper,FB小编 secist 编译,转载请注明来自 FreeBuf(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-01-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏沈唁志

手机QQ7.5.5坦白说功能已开放一键查询发送人QQ号

2541
来自专栏FreeBuf

Hacking Team漏洞大范围挂马,上百万电脑中招

一、概况 近日,腾讯反病毒实验室拦截到一个恶意推广木马大范围传播,总传播量上百万,经分析和排查发现该木马具有以下特征: 1)该木马是通过网页挂马的方式传播的,经...

2319
来自专栏SAP最佳业务实践

SAP最佳业务实践:MM–采购报价(128)-3报价

4.2 ME4S报价请求清单 在此活动中,显示刚刚创建的报价请求。 角色:采购员 后勤-物料管理-采购-询价/报价-报价邀请-清单显示-按汇总号 1. ...

3425
来自专栏FreeBuf

WanaCrypt0r“想哭”勒索蠕虫数据恢复可行性分析报告

目录 第一章 前言… 第二章 加密文件核心流程分析… 第三章 数据恢复可行性分析… 第四章 总结… 第一章 前言 近日,360互联网安全中心发现全球多个国家和地...

2156
来自专栏FreeBuf

攻击新姿势:通过入侵Outlook Web应用(OWA)服务器来破坏机构网络

研究人员发现了一种先进的恶意软件,它可以通过感染机构的Outlook Web应用(OWA)邮件服务器来破坏机构的网络。 机构网络新型攻击方式 根据Cyberea...

2896
来自专栏安恒信息

WPcache-Blogger感染事件影响五万WordPress网站

近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又出现一个与其有关的恶意软件感染事件—WPcache-Blogger。这次事件...

2835
来自专栏FreeBuf

腾讯安全反病毒实验室:捕获多起Ramnit僵尸网络家族的DDoS攻击

0x1 概况 近期,腾讯安全反病毒实验室和腾讯云安全团队感知到多起DDoS攻击事件,攻击目标包括为金融、婚恋、博彩等类型的网站,研究发现这几起攻击来自于同一僵尸...

2618
来自专栏沈唁志

整合ThinkPHP功能系列之使用聚合数据查询快递物流数据

聚合数据的快递类接口价格还是比较实惠的,而且在去年的时候受菜鸟顺丰互撕影响,聚合数据快递类接口接入量猛增

1693
来自专栏Seebug漏洞平台

BlackOasis APT 和利用 0day 漏洞的新目标攻击

原文地址:https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-z...

3165
来自专栏云上大文件传输

腾讯云海外数据中心到腾讯云广州-文件传输对比评测集合

近日,我们针对腾讯云海外各数据中心到腾讯云广州,做了一系列大文件传输对比评测。

3516

扫码关注云+社区

领取腾讯云代金券