本文作者Pierluigi Paganini,由悬镜安全实验室独家翻译,如需转载,请标注转载地址:http://www.xmirror.cn/
最近来自MalwareHunterTeam的专家发现了FireCrypt勒索软件,这是一种威胁,作为恶意软件构建工具包并包含DDoS代码。
Ransomware已经成为增长最快的威胁之一,新的恶意软件实现复杂的功能,以避免检测和在最大数量的机器之间迅速传播。
最近,来自MalwareHunterTeam的专家发现了一种名为FireCrypt的新型勒索软件,其中还包括一个启动DDoS攻击的组件。
专家注意到FireCrypt持续连接到某个URL并从其下载内容,并将其保存到本地计算机的%Temp%文件夹。
这样,恶意软件用垃圾文件填充机器,URL在恶意软件的源代码中被硬编码。
研究人员分析的DDoS组件针对巴基斯坦电信管理局(http://www.pta.gov(。)pk / index.php)的官方门户,并将内容下载到%Temp%文件夹中的文件。
FireCrypt勒索软件使用被称为BleedGreen的恶意软件构建器创建,并利用命令行应用程序自动化将FireCrypt示例放在一起的过程。
BleedGreen允许快速自定义勒索软件生成一个唯一的可执行文件自定义名称和创建者选择的文件图标。
根据恶意软件研究人员,勒索软件生成器是非常微不足道的。
“与其他勒索软件构建器相比,这是一个非常低端的应用程序。
类似的构建者通常允许骗子自定义更广泛的选项,例如比特币地址接收付款,赎金需求值,联系电子邮件地址等。“Bleepingcomputer.com发布的博客。
构建器能够伪装在PDF或DOC图标下的FireCrypt可执行文件,它也能够对二进制文件进行小的更改,使勒索软件检测更难。
当受害者启动由构建器生成的可执行文件(EXE文件)时,感染进程启动。 勒索软件首先杀死任务管理器(taskmgr.exe)进程,并开始用AES-256加密加密用户的文件。
由FireCrypt加密的文件容易识别,因为恶意软件将.firecrypt扩展名附加到文件名。
勒索软件在桌面上删除了一个与致命的一个好用的Ransomware相同的赎金说明,这两个恶意软件呈现许多相似之处。
“与FireCrypt相比,唯一的区别是致命的良好用途Ransomware还在赎金注释的顶部有一个标志,现在在FireCrypt中丢失。
但是,通过仔细检查Deadly的源代码,MalwareHunterTeam发现这两个勒索软件版本使用相同的电子邮件和比特币地址,显示两者之间的明确连接,FireCrypt是原始致命的好目的的重新版本 Ransomware。
“继续关于睡眠计算机的帖子。
让我们结束对DDoS组件的反思,目标URL不能被勒索软件构建器修改,DDoS攻击没有效果,因为它需要感染大量的PC,同时也将同时连接到互联网 。
本文作者Pierluigi Paganini,由悬镜安全实验室独家翻译,如需转载,请标注转载地址:http://www.xmirror.cn/
最近来自MalwareHunterTeam的专家发现了FireCrypt勒索软件,这是一种威胁,作为恶意软件构建工具包并包含DDoS代码。
Ransomware已经成为增长最快的威胁之一,新的恶意软件实现复杂的功能,以避免检测和在最大数量的机器之间迅速传播。
最近,来自MalwareHunterTeam的专家发现了一种名为FireCrypt的新型勒索软件,其中还包括一个启动DDoS攻击的组件。
专家注意到FireCrypt持续连接到某个URL并从其下载内容,并将其保存到本地计算机的%Temp%文件夹。
这样,恶意软件用垃圾文件填充机器,URL在恶意软件的源代码中被硬编码。
研究人员分析的DDoS组件针对巴基斯坦电信管理局(http://www.pta.gov(。)pk / index.php)的官方门户,并将内容下载到%Temp%文件夹中的文件。
FireCrypt勒索软件使用被称为BleedGreen的恶意软件构建器创建,并利用命令行应用程序自动化将FireCrypt示例放在一起的过程。
BleedGreen允许快速自定义勒索软件生成一个唯一的可执行文件自定义名称和创建者选择的文件图标。
根据恶意软件研究人员,勒索软件生成器是非常微不足道的。
“与其他勒索软件构建器相比,这是一个非常低端的应用程序。
类似的构建者通常允许骗子自定义更广泛的选项,例如比特币地址接收付款,赎金需求值,联系电子邮件地址等。“Bleepingcomputer.com发布的博客。
构建器能够伪装在PDF或DOC图标下的FireCrypt可执行文件,它也能够对二进制文件进行小的更改,使勒索软件检测更难。
当受害者启动由构建器生成的可执行文件(EXE文件)时,感染进程启动。 勒索软件首先杀死任务管理器(taskmgr.exe)进程,并开始用AES-256加密加密用户的文件。
由FireCrypt加密的文件容易识别,因为恶意软件将.firecrypt扩展名附加到文件名。
勒索软件在桌面上删除了一个与致命的一个好用的Ransomware相同的赎金说明,这两个恶意软件呈现许多相似之处。
“与FireCrypt相比,唯一的区别是致命的良好用途Ransomware还在赎金注释的顶部有一个标志,现在在FireCrypt中丢失。
但是,通过仔细检查Deadly的源代码,MalwareHunterTeam发现这两个勒索软件版本使用相同的电子邮件和比特币地址,显示两者之间的明确连接,FireCrypt是原始致命的好目的的重新版本 Ransomware。
“继续关于睡眠计算机的帖子。
让我们结束对DDoS组件的反思,目标URL不能被勒索软件构建器修改,DDoS攻击没有效果,因为它需要感染大量的PC,同时也将同时连接到互联网 。
667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
