![fe11d97cefcba113a397ebff003c6da7.png](https://i-blog.csdnimg.cn/blog_migrate/1e5b7d91d3b136805d9487198b7c9cb2.jpeg)
目前,勒索病毒仍然是全球最大的威胁。据相关统计,最近一年,针对企业的勒索病毒攻击越来越多,且病毒类型也在不断创新。
近期国外安全研究人员就发现了一款基于PowerShell脚本的勒索病毒FTCode,此勒索病毒主要通过垃圾邮件进行传播。
![c7ae0b183cabccbe5fc7c473383f3eb4.png](https://i-blog.csdnimg.cn/blog_migrate/ce25d0963c39da6f0974ddae259e84a2.jpeg)
安全研究人员对此类勒索病毒进行具体分析,发现其具体行为是:向攻击的目标发送垃圾邮件,其中附加一个压缩包,压缩包里面包含的是一个恶意DOC文档。
之后,安全研究人员通过app.any.run下载到了相应的DOC样本进行进一步分析,具体分析如下:
1. 打开恶意DOC样本后的界面:
![af08c79cdbd29afdf5173f2c9c523a32.png](https://i-blog.csdnimg.cn/blog_migrate/8d2777fca65559be4bc41128a45f9709.jpeg)
2. 恶意DOC文档会启动恶意宏代码,启动后相应的文档页面如下:
![c84579cb8f4b73b3d207401117f1b63f.png](https://i-blog.csdnimg.cn/blog_migrate/7e08cd7232d9ab602a11a52cc0b2d794.jpeg)
3. 恶意宏代码会启动PowerShell进程执行脚本,如下所示:
![5ecf3ef737be96ae2e0608d455606cad.png](https://i-blog.csdnimg.cn/blog_migrate/9b20889a7b310b2551833b7545b493cb.jpeg)
4. 从恶意服务器下载PowerShell脚本执行,服务器URL地址:hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038
打开恶意服务器脚本,如下所示:
![f735a96b16196a1966f70677a55dcd39.png](https://i-blog.csdnimg.cn/blog_migrate/cde764e9a32caa436d241e1be08bcf32.jpeg)
5. 从恶意服务器下载VBS脚本,然后设置计划任务自启动项,如下:
![9b83ee9253eecdfc76db0a0e2b6b3672.png](https://i-blog.csdnimg.cn/blog_migrate/ed32195074317b4e142999fe0cdf6dcd.jpeg)
6. 相应的计划任务自启动项WindowsApplicationService,如下:
![22d05a24215aeec44282a4d0dbec7bb3.png](https://i-blog.csdnimg.cn/blog_migrate/254709fe0a27cfed99f2ec684424490b.jpeg)
7. 恶意服务器URL:hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&,脚本内容如下:
![cd045473baee77e76b33b9e6260f76b5.png](https://i-blog.csdnimg.cn/blog_migrate/e0fa5a22176520dc67bbde91d379994d.jpeg)
8. 解密后的VBS脚本,是一个PowerShell脚本,如下:
![3ce6fe040a03c8175d647deb33a3e89e.png](https://i-blog.csdnimg.cn/blog_migrate/d482da4dfc822da0a8a0bf9ed1d69b13.jpeg)
9. 再次解密PowerShell脚本之后为一个恶意软件下载器,会下载安装其他恶意软件,内容如下:
![b3636457c700c44af2fbdbb268f55263.png](https://i-blog.csdnimg.cn/blog_migrate/c6c42ac52ab8421e7752b6d9d60d8a57.jpeg)
10. 下载完VBS脚本,设置计划任务之后,FTCode PowerShell恶意脚本会解密内置字符串生成一个RSA加密密钥,如下:
![185d4cb8d741be5fa11214644ba819e9.png](https://i-blog.csdnimg.cn/blog_migrate/a57760b96bd67ed4da8961d8dc487760.jpeg)
11.删除磁盘卷影,操作系统备份等,如下所示:
![7ea3c9da57041a3005e8a04454c5a65d.png](https://i-blog.csdnimg.cn/blog_migrate/9d91903aa716391e98e0f302137b864a.jpeg)
12. 开始加密文件,对指定的文件后缀进行加密,加密后的文件后缀名FTCODE,如下所示:
![66a0c16a89e85b887fa9271e96b44f16.png](https://i-blog.csdnimg.cn/blog_migrate/baa244e537e4bd2527312e203ef37a3a.jpeg)
13. 加密后的文件,呈现如下:
![bcb4eacf99ce1130c2191737c83e7478.png](https://i-blog.csdnimg.cn/blog_migrate/69c0e83eb36de60647d96abc0e0d6d6b.jpeg)
14. 在每个加密的文件目录生成勒索提示信息HTM文件READ_ME_NOW.htm,内容如下所示:
![c8f0cf89e0b345c4af1af2e7001644e0.png](https://i-blog.csdnimg.cn/blog_migrate/64059832d4a90ee6d2535e37ce010c29.jpeg)
15. 需要支付500美元进行解密,勒索病毒解密网站为:http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=[guid]
最近一两年,针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,且大部分勒索病毒目前都是无法解密状态。
MailData建议各企业,一定要保持高度的重视!企业安全,才可持续发展;而企业安全,防御大于“治疗”,别让一个小小的文档,毁了你的百万大单。
*文章转载自:FreeBuf.COM
![a055c42670edb2280eb2135ec44debc9.png](https://i-blog.csdnimg.cn/blog_migrate/2bfdbceeee9d7d4fffe2cb7d0543686a.jpeg)