KeyPass恶意软件变种现身 包含可手动控制的表单
2018-08-16 来源:IT运维网
在包括巴西和越南在内的一系列国家/地区都发现了KeyPass恶意软件变种样本。与其他恶意软件不同的是,该木马包含一个默认隐藏的表单 - 可手动控制,由于手动加密的能力,犯罪分子可以很容易地改变解密的价格。
研究人员周一表示,KeyPass勒索软件的一个新变种在8月份传播已经越来越广泛,并且正在使用手动控制等新技术来定制其加密过程。它正在通过下载勒索软件模块的虚假安装程序进行传播。
卡巴斯基实验室的恶意软件分析师说:
“根据我们的统计数据,犯罪分子几天前才开始传播勒索软件。可执行PE头中包含的信息证实了最近创建该木马的假设。”
研究人员表示,发现的木马样本是用C ++编写的,并在MS Visual studio中编译。虽然他们不会进一步了解可能的目标,但研究表明,恶意软件的样本主要来自巴西和越南。
在通过虚假安装程序分发后,一旦进入受害者的计算机,该木马会将其可执行文件复制到本地应用程序数据文件夹(%LocalAppData%)并启动它。然后它从原始位置删除自己。
在此之后,该木马生成其自己进程的若干副本,以将加密密钥和受害者ID作为命令行参数传递。
“KeyPass枚举了可从受感染机器访问的本地驱动器和网络共享,并搜索所有文件,无论其扩展名如何,它会跳过位于许多目录中的文件,因为这些目录的路径被硬编码到样本中。”
这些加密文件中的每一个都有一个额外的扩展名:“。KEYPASS”,以及名为“”!!! KEYPASS_DECRYPTION_INFO !!!。txt“”的赎金票据,它们保存在每个处理过的目录中。
“很多勒索软件都会在受感染机器上留下的赎金中写出赎金金额,KeyPass木马也不例外。该笔记的文本存储在恶意软件中,并在那里指定了300美元。“
如果C&C无法访问 - 或者如果受感染的计算机未连接到互联网或服务器已关闭 - 该木马可以使用硬编码密钥和ID。研究人员表示,这意味着在离线加密的情况下,解密受害者的文件并不困难。
可手动控制恶意软件
该木马包含一个默认隐藏的表单 - 可手动控制,这意味着在按下键盘上的按键后可以显示其样式。这种能力可能表明该木马背后的罪犯打算在手动攻击中使用它。虽然这个功能对受害者来说意义不大,但这只是研究人员发现的一个特征,因为它在其他勒索软件家族中并不常见。
此表单允许攻击者通过更改诸如加密密钥,勒索信息名称,勒索信息文本,受害者ID,加密文件的扩展名以及要从加密中排除的路径列表等参数来自定义加密过程。由于手动加密的能力,犯罪分子可以很容易地改变解密的价格。
“恶意软件默认自动运行,但是,如果犯罪分子能以某种方式获得对受感染系统的远程控制,那么该特洛伊木马允许犯罪分子修改默认加密参数。”
用户可以通过始终备份,仅从受信任的来源安装软件,仅使用强密码进行RDP访问并使用可靠的安全解决方案来保护自己免受KeyPass勒索软件的侵害。
原文链接:
https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/
转自:安全加
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。