谨防带有假发票的垃圾邮件推送：Hermes 2.1 Ransomware和AZORultIOCs

正在进行的malspam活动假装是未付款的发票。当这些发票打开时，他们会安装AZORult信息窃取Trojan和Hermes 2.1 Ransomware到收件人的计算机上。

此次活动的最新样本由安全研究员Yves Agostini与BleepingComputer共享，后者被确定为安装了AZORult和Hermes 2.1。

Svarer @yvesago @malwrhunterteam @benkow_ 该文件似乎删除了一个名为azo.exe（#Azorult）https://t.co/2hay2UVnxo 的文件和一个名为hrms.exe的文件，这是Hermes #ransomware。https://t.co/uwfOKeO4bW pic.twitter.com/ASsiJ96p3z - §Êʪª····················································· （@ Jan0fficial）2018年8月17日

这些垃圾邮件的主题为“发票到期”，并假装是包含名为Invoice.doc的Word文档附件的未结余额，如下所示。

这些Word文档附件受密码保护，以使防病毒供应商更难以将其检测为恶意。这些附件的密码在malspam中给出，在上面的例子中，密码是1234。

收件人输入密码后，将会显示“ 启用内容” 提示。对于那些不熟悉此按钮的用户，一旦单击它，Word将启用宏或其他嵌入式脚本，然后执行这些脚本。

在这种情况下，当您单击启用内容时，将下载并执行AZORult Trojan（azo.exe），然后下载并执行Hermes 2.1 Ransomware（hrms.exe）。

Hermes 2.1 Ransomware将首先执行并加密计算机上的文件。这种特殊的勒索软件不会改变文件名，所以你知道自己被感染的唯一方法就是找到DECRYPT_INFORMATION.html赎金票据，如下所示。

跟过去一样，要小心假发票或其他未知附件。此外，永远不要打开附件，除非您期望发件人并确认他们确实已将其发送给您。否则，你永远不会知道你将要打开什么，并还有可能收到病毒感染。

国际石油公司

哈希表：

Hermes 2.1 Ransomware: 416235b085b6b86640cac3a78f0bd52583eed7154fc3666f5338bde96db10fab
AZORult: 6ef12546c720ca40303dbf1ec391c967e5e0446c1e719d44001d3dcd2c2b8460

Malspam消息：

Subject: Invoice Due

This is to inform you that there is still an outstanding payment of  $12,340 USD. We would appriciate it if this could be settled no later  than the 20th.

I have attached the current invoice and the password for the document is: 1234

Thank you.

Federico Crowley