用html做垃圾邮件1005无标题,垃圾邮件传播新型FTCode无文件勒索病毒

最新推荐文章于 2022-08-24 18:09:30 发布
最新推荐文章于 2022-08-24 18:09:30 发布
阅读量188 收藏
点赞数
文章标签: 用html做垃圾邮件1005无标题

目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多,不断有新型的勒索病毒出现,各企业一定要保持高度的重视,大部分勒索病毒是无法解密的,近期国外安全研究人员发现了一款基于PowerShell脚本的勒索病毒FTCode,此勒索病毒主要通过垃圾邮件进行传播。

近日国外某独立恶意软件安全研究人员曝光了一个新型的FTCode PowerShell勒索病毒,如下所示:

2e5befbe3aeffc06796bf60dc9860fea.png

此勒索病毒主要通过垃圾邮件进行传播,发送的垃圾邮件会附加一个压缩包,压缩包里面包含一个恶意的DOC文档,从app.any.run上下载到相应DOC样本,打开DOC文件,如下所示:

588ef8b677e40358a67355dcb5919b40.png

启动恶意宏代码,相应的文档内容,如下所示:

f71531b51bd51ee874ff9b367c200ad6.png

恶意宏代码,启动PowerShell进程执行脚本,如下所示:

2f00aa5a8df703c85a6e21f15d77a230.png

从恶意服务器下载PowerShell脚本执行,服务器URL地址:

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打开恶意服务器脚本,如下所示:

9657eab7e79f0fce9d076e543142e33f.png

从恶意服务器下载VBS脚本,然后设置计划任务自启动项,如下所示:

5e902ac91e866dfb5791a66f3eeceb95.png

相应的计划任务自启动项WindowsApplicationService,如下所示:

0f15bce241562e4b8091d9c1ab83014b.png

恶意服务器URL:hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&,脚本内容,如下所示:

2fdfd593b37f692f21a14873a3cec7bf.png

解密后的VBS脚本,是一个PowerShell脚本,如下所示:

63360f016b1e2ca8aeb16ee8708e2f30.png

再次解密PowerShell脚本之后为一个恶意软件下载器,会下载安装其他恶意软件,内容如下所示:

fb704c3269a727c4dd95d8279116782a.png

下载完VBS脚本,设置计划任务之后,FTCode PowerShell恶意脚本会解密内置字符串生成一个RSA加密密钥,如下所示:

843ddfa0724c1108bc63dbf77c8e1e0f.png

删除磁盘卷影,操作系统备份等,如下所示:

00f552e1d0652b8a18e707b2157923fa.png

然后开始加密文件,对指定的文件后缀进行加密,加密后的文件后缀名FTCODE,如下所示:

0f5adc501cdac9f62d9cc1f354ef186b.png

加密后的文件,如下所示:

5819055b1b0ec37d3f88752d3da38c77.png

在每个加密的文件目录生成勒索提示信息HTM文件READ_ME_NOW.htm,内容如下所示:

106a6e098050d1356114fa82ed006dc6.png

需要支付500美元进行解密,勒索病毒解密网站

IOC

HASHA5AF9F4B875BE92A79085BB03**6FE5C

C&C

185.158.248.151

185.120.144.147

home.southerntransitions.net

connect.southerntransitions.com

URLhxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&

hxxp://connect.southerntransitions.com/

hxxp://home.hopedaybook.com/?need=9f5b9ee&vid=dpec1&9337

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec1&

hxxp://home.isdes.com/?need=6ff4040&vid=dpec2&

最近一两年针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,真的是越来越多了,各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标......

*本文作者:熊猫正正,转载请注明来自FreeBuf.COM

眼虐速食
关注
垃圾邮件冒充中国工商银行传播Sodinokibi勒索病毒
SH_fengran123的博客
04-13 672
Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,近日此勒索病毒通过垃圾邮件,冒充中国工商银行进行网络攻击 今年六月一号,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒使用了多种传播渠道进行传播扩散,如下所示: Oracle Weblog
html一键短信代码,利用js、html以及Css简单制作了一个模拟手机短信发送(示例代码)...
weixin_39815345的博客
06-05 636
MyPhoneSend#phoneOut{width:320px;height:500px;border:1px solid #333;border-radius:10px;margin-left:30px;}#phoneIn{width:300px;height:450px;border:1px solid yellow;margin:0 auto;margin-top:20px;border-...
html邮件会不会是病毒,邮件病毒不得不防 去除来信病毒有另法
weixin_35450735的博客
06-19 580
现在很多病毒都通过网络传播,尤其通过邮件传播的更多。但不管怎样,邮件中的病毒或恶意代码必须夹在HTML代码中。只要我们让邮件程序不解析并显示这些HTML代码就不会有事。Foxmail点击下载右击某账户,选择“属性”,打开“帐户属性”对话框,选择“字体与显示”,取消“使用嵌入式IE浏览器显示HTML邮件”复选框(如图1)。Foxmail此后,HTML邮件将会按TXT来显示,如果你想查看,只要单击工具...
HTML112k病毒,勒索病毒新款,JS格式,中招了
weixin_39842237的博客
06-20 208
本帖最后由 rzmould 于 2016-2-25 21:23 编辑不知道怎样上传附件我把JS代码复制出来吧:function btoa(circumspectBo0, elaboratebvc, pallidmOf, inscrutableRPO, notwithstandingfDY, unwontedNVL, baubleUx7, vintneryUp) {var foistBGn = "A...
千万当心!不启用代理功能,网站也有可能被恶意用作垃圾邮件发送服务器
航海日志
08-04 1589
 摘要:         最近巡检网站时,发现有大量的异常链接,如“tcp        0    912 hhrz.org:80          125.224.196.186:1087    LAST_ACK ”以及异常访问记录-" 205.209.140.102 - - [03/Aug/2009:04:21:59 +0800] "CONNECT 59.124.98.13:25 HTTP/1
html 文件中毒导致Java mail发邮件失败问题复盘
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
02-28 1304
项目中有一个邮件发送的功能,实时监控服务器系统信息,并定时发邮件给系统管理员,邮件发送使用的是 html 格式的邮件正文。 但是最近一次部署后,所有发送邮件操作均没有后台异常,但是收件箱没有收到任何邮件。这是怎么回事儿呢?邮件为什么被送达呢?
Linux中防御垃圾邮件的方法
09-16
Relay允许任何人在未经授权的情况下通过你的邮件服务器向其他人发送邮件,这使得垃圾邮件发送者得以利用你的服务器进行大规模的垃圾邮件传播。关闭Open Relay的方法是在`/etc/mail/access`文件中移除允许任意主机...
勒索病毒处置
swordheart的博客
08-24 1285
1] 首先要明确真正的中毒主机,只有共享文件夹被加密的主机并没有中病毒。[2] 有的勒索病毒在运行完后会自删除,所以不一定能找到病毒样本。[3] 基本思路是确定开始加密时间,然后分析这个时间点的可疑文件及日志。[4] 大多数勒索事件都是RDP暴破人工植入,在溯源时应该首先往这个方向排查。
auto.js 脚本代码大全_行业 | 一款基于PowerShell脚本的勒索病毒FTCode正在以邮件传播...
weixin_39547392的博客
11-03 320
目前,勒索病毒仍然是全球最大的威胁。据相关统计,最近一年,针对企业的勒索病毒攻击越来越多,且病毒类型也在不断创新。近期国外安全研究人员就发现了一款基于PowerShell脚本的勒索病毒FTCode,此勒索病毒主要通过垃圾邮件进行传播。安全研究人员对此类勒索病毒进行具体分析,发现其具体行为是:向攻击的目标发送垃圾邮件,其中附加一个压缩包,压缩包里面包含的是一个恶意DOC文档。之后,安全研究人员通过a...
一个简单的HTML病毒分析
轻灵自由的珍珠
07-02 4512
  一直就想写这篇东西了,只是上班时说要上班,不写,回家后又忙着玩游戏,丢一边去了。现在只好不务正业的开写了,希望头儿不会知道我的blog。哈哈   在很久之前就对HTML病毒很感兴趣了,很好奇怎么能远程向本地不经过允许就能下载可执行文件的,只是一直没机会搞得到ASP的原码,所以不才敢断章取义的去作什么分析。最近一次听一朋友说他看一个网页时病毒防火墙提示有病毒,叫我小心(先感谢一下他先),我
基于大模型技术的算力产业监测服务平台设计
09-17
内容概要:本文提出了一种新型算力产业监测服务平台的设计理念,运用国内自主研发的大模型技术支持,通过对传统技术的改进和完善,提出了三层架构的设计方法,即基础设施层(含向量数据库和模型训练)、大模型应用框架层(强化数据处理与多维关系挖掘)及业务层(如智能分析助手)。这种设计方案旨在提高算力产业发展监测与决策制定的质量。 适合人群:电信行业的从业人员及研究人员;算力产业链各环节管理者;政府相关机构和政策决策者。 使用场景及目标:在多种算力相关的应用场景(如云计算中心管理,数据中心监测,政策分析)中辅助决策者进行快速有效的信息获取和技术选择;助力算力产业发展方向的精确把控和战略调整。 其他说明:随着大模型技术的日臻成熟,该算力产业监测服务平台预计将进一步丰富自身的应用领域和服务深度,以促进算力行业更智慧化发展。
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot.zip
最新发布
09-17
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot
吉他谱_What I've Done - Linkin Park.pdf
09-17
初级入门吉他谱 guitar tab
吉他谱_Too sweet - Hozier.pdf
09-17
初级入门吉他谱 guitar tab
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值