Rakhni特洛伊木马改造后＂变身＂勒索软件

2018-07-10 来源：IT运维网

Rakhni特洛伊木马最早于2013年被首次发现，后经过黑客的不断改造，具备了新的能力。黑客们使用Rakhni勒索软件加密或矿工感染受害者。该恶意软件主要是在俄罗斯感染受害者，通过电子邮件垃圾邮件活动进行分发，垃圾邮件中带有PDF文件，一旦受害者点击，它就会启动恶意可执行文件。

Rakhni特洛伊木马经过改造用于勒索软件加密和感染矿工

Rakhni特洛伊木马（Trojan-Ransom.Win32.Rakhni）于2013年首次发现，现在让黑客们使用该勒索软件加密或矿工感染受害者。

“[犯罪分子]无论如何都会试图从受害者那里获益：直接勒索金钱（加密）或未经授权使用自己需要的用户资源（矿工），如果我们谈论Rakhni，即使前两种方式无效，它也会采用第三种方式 - 它将受害者置于恶意软件（网络蠕虫）的分发链中。我真的希望它不会成为一种趋势。“

研究人员说，勒索软件的赎金票据包含一封攻击者的电子邮件和付款“截止日期”。 “此外，赎金票据警告受害者，使用第三方解密器可能会损坏文件，甚至原始解密器也无法解密它们，赎金票据的最后一句通知受害人，所有请求都将由自动系统处理。”

同时，如果不存在加密货币文件夹，则特洛伊木马会下载一个矿工模块并生成一个VBS脚本，其中包含用于挖掘Monero或Dashcoin加密货币的命令。

“为了将矿工伪装成一个值得信赖的进程，攻击者用虚假的微软公司证书签名并调用svchost.exe，”

最后，如果机器没有加密货币文件夹并且只有一个逻辑处理器（而不是两个），则下载程序会跳转到其蠕虫组件。这种最后的方法允许它使用类似蠕虫的功能在本地网络上的所有计算机上复制自身。

“作为其最后一项行动之一，下载者试图将自己复制到本地网络中的所有计算机上，为此，它调用系统命令'net view / all'将返回所有共享，然后特洛伊木马创建包含具有共享资源的计算机名称的list.log文件。”

该恶意软件主要通过电子邮件垃圾邮件活动进行分发，该恶意软件主要是在俄罗斯感染受害者。研究人员检查的网络钓鱼电子邮件包含虚假的公司财务文件，导致他们相信犯罪分子的主要目标是公司。

打开电子邮件附件后，系统会提示受害者编辑电子邮件声称的嵌入式PDF文件。一旦受害者点击“PDF”，它就会启动恶意可执行文件。

执行后，下载程序（一个用Delphi编写的可执行文件）显示一个消息框，其中包含一个声称来自Adobe的错误文本 - 让受害者偏离怀疑他们已被感染。

“为了隐藏恶意软件在系统中的存在，恶意软件开发人员使他们的创建看起来像Adobe Systems的产品，这反映在图标，可执行文件的名称和使用Adobe Systems Incorporated这个名称的假数字签名中。”

根据研究人员的说法，一旦下载，恶意软件的决定就是根据系统上加密钱包（比特币数据文件夹，或％AppData％\ Bitcoin）的存在来下载加密器或采矿者。

如果存在这样的文件夹，则下载程序决定下载加密程序。同时，如果文件夹不存在且机器有两个以上的逻辑处理器，则下载矿工。

“逻辑处理器的数量是一个抽象，显示计算机能够执行多少并行任务，据说，犯罪分子认为，如果被感染的机器'足够强大'（即它有超过2个逻辑处理器），那么在这个硬件上挖掘加密货币比从其拥有者那里勒索货币更有利可图。”

如果存在此类加密货币文件夹，则特洛伊木马会将受密码保护的存档下载到包含加密模块的启动控制器（C：\ Documents and Settings \ username \ Start Menu \ Programs \ Startup）。

研究人员表示，cryptor可执行文件的名称为taskhost.exe。有趣的是，它只会在系统闲置至少两分钟后才开始工作，之后可执行文件将加密一组文件扩展名并将其更改为.neitrino。

在每个加密目录中，加密器然后使用勒索软件消息创建MESSAGE.txt文件。

研究人员表示，Rakhni木马多年来一直在不断变化，这种独特的能力只是最新的。多年来，恶意软件编写者还调整了特洛伊木马以改变获取密钥的方式（从本地生成的密钥到从命令和控制服务器接收的密钥），以及他们的恶意软件分发方法（从垃圾邮件到远程执行方法）。

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。

最新资讯

热门推荐