谨防带有假发票的垃圾邮件推送:Hermes 2.1 Ransomware和AZORultIOCs

正在进行的malspam活动假装是未付款的发票。当这些发票打开时,他们会安装AZORult信息窃取Trojan和Hermes 2.1 Ransomware到收件人的计算机上。

此次活动的最新样本由安全研究员Yves Agostini与BleepingComputer共享,后者被确定为安装了AZORult和Hermes 2.1。

Svarer @yvesago @malwrhunterteam @benkow_ 该文件似乎删除了一个名为azo.exe(#Azorulthttps://t.co/2hay2UVnxo 的文件和一个名为hrms.exe的文件,这是Hermes #ransomwarehttps://t.co/uwfOKeO4bW pic.twitter.com/ASsiJ96p3z - §Êʪª····················································· (@ Jan0fficial)2018年8月17日

这些垃圾邮件的主题为“发票到期”,并假装是包含名为Invoice.doc的Word文档附件的未结余额,如下所示。

这些Word文档附件受密码保护,以使防病毒供应商更难以将其检测为恶意。这些附件的密码在malspam中给出,在上面的例子中,密码是1234。

收件人输入密码后,将会显示“ 启用内容” 提示。对于那些不熟悉此按钮的用户,一旦单击它,Word将启用宏或其他嵌入式脚本,然后执行这些脚本。

在这种情况下,当您单击启用内容时,将下载并执行AZORult Trojan(azo.exe),然后下载并执行Hermes 2.1 Ransomware(hrms.exe)。

Hermes 2.1 Ransomware将首先执行并加密计算机上的文件。这种特殊的勒索软件不会改变文件名,所以你知道自己被感染的唯一方法就是找到DECRYPT_INFORMATION.html赎金票据,如下所示。

跟过去一样,要小心假发票或其他未知附件。此外,永远不要打开附件,除非您期望发件人并确认他们确实已将其发送给您。否则,你永远不会知道你将要打开什么,并还有可能收到病毒感染。

国际石油公司

哈希表:

Hermes 2.1 Ransomware: 416235b085b6b86640cac3a78f0bd52583eed7154fc3666f5338bde96db10fab
AZORult: 6ef12546c720ca40303dbf1ec391c967e5e0446c1e719d44001d3dcd2c2b8460

Malspam消息:

Subject: Invoice Due

This is to inform you that there is still an outstanding payment of  $12,340 USD. We would appriciate it if this could be settled no later  than the 20th.

I have attached the current invoice and the password for the document is: 1234

Thank you.

Federico Crowley  
  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/beware-of-spam-with-fake-invoices-pushing-hermes-21-ransomware-and-azorult/

扫码关注云+社区

领取腾讯云代金券