近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
結束相關進程
notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe
如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
結束相關進程
notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe
如下所示:
8.創建互斥變量cFgxTERNWEVhM2V,獲取主機磁盤目錄,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
結束相關進程
notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe
如下所示:
8.創建互斥變量cFgxTERNWEVhM2V,獲取主機磁盤目錄,如下所示:
9.遍歷磁盤目錄文件,然後加密,此勒索病毒加密後的文件全填充為零,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
結束相關進程
notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe
如下所示:
8.創建互斥變量cFgxTERNWEVhM2V,獲取主機磁盤目錄,如下所示:
9.遍歷磁盤目錄文件,然後加密,此勒索病毒加密後的文件全填充為零,如下所示:
10.生成勒索信息文件[加密後綴]+ _Entschluesselungs_Anleitung.html,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
結束相關進程
notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe
如下所示:
8.創建互斥變量cFgxTERNWEVhM2V,獲取主機磁盤目錄,如下所示:
9.遍歷磁盤目錄文件,然後加密,此勒索病毒加密後的文件全填充為零,如下所示:
10.生成勒索信息文件[加密後綴]+ _Entschluesselungs_Anleitung.html,如下所示:
11.生成桌面背景,修改桌面背景,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
結束相關進程
notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe
如下所示:
8.創建互斥變量cFgxTERNWEVhM2V,獲取主機磁盤目錄,如下所示:
9.遍歷磁盤目錄文件,然後加密,此勒索病毒加密後的文件全填充為零,如下所示:
10.生成勒索信息文件[加密後綴]+ _Entschluesselungs_Anleitung.html,如下所示:
11.生成桌面背景,修改桌面背景,如下所示:
12.調用cmd命令刪除磁盤卷影等操作,如下所示:
近日國外某獨立安全研究員(專門從事惡意樣本分析工作),發現了一款新型的勒索病毒,這款勒索病毒使用了高強度代碼混淆手段,會修改桌面背景,這種手法與之前的GandCrab和Sodinokibi兩款勒索病毒非常類似,這款勒索病毒的勒索提示信息使用了德語,這種使用德語提示信息的勒索病毒在之前發現的勒索病毒家族中是比較少見的,之前報告我就說過,GandCrab勒索病毒的故事雖然結束了,但後面會有越來越多的像GandCrab的黑產團伙出現,因為只要有利益的地方,就會有黑產。
GandCrab讓做黑產的看到了巨大的利益,未來新型勒索病毒還會增加,雖然總體數量可能會減少,但針對企業的勒索攻擊會越來越多,流行的勒索病毒家族會增多,使用技術手段也會不斷變化,這些針對企業的勒索病毒背後都會有一個像GandCrab黑產運營團隊那樣的團隊,他們分工協作,在背後操控運營著這些流行的勒索病毒,專門針對特定企業進行勒索攻擊,然後從中獲取巨大的利潤,這款勒索病毒未來可能會爆發,請各安全廠商密切關注此勒索病毒的活躍情況,即時預警,國外獨立惡意軟件安全研究人員曝光此勒索病毒的信息,如下所示:
勒索病毒樣本已經被人上傳到了在app.any.run網站,這個在線的分析網站做的不錯,很適合一些新手,在我的知識星球寫了一篇對這個網站的詳細介紹,加入去知識星球學習,到目前為止這個網站已經收集了很多最新的病毒樣本,估計都是國內外一些客戶發現病毒樣本之後,然後上傳到這個網站的,這種在線沙箱網站是一種很好的收集最新病毒樣本的方式,如下所示:
此勒索病毒運行之後,加密後的文件後綴為隨機名,如下所示:
會修改桌面的背景,如下所示:
同時會在桌面生成一個勒索提示文件,文件名:[加密後綴]_Entschluesselungs_Anleitung.html,內容為德語,如下所示:
交付贖金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15個左右BTC
勒索病毒核心技術剖析
1.此勒索病毒母體使用了高強度的混淆代碼,以逃避殺毒軟件的檢測,外殼採用VC編寫,如下所示:
該樣本的時間戳為2019年8月1日,如下所示:
2.獲取函數地址,並分配相應的內存空間,如下所示:
3.在內存中解密出代碼,然後跳轉執行,如下所示:
4.解密執行內層的Payload代碼,如下所示:
5.從內存中DUMP出Payload核心,是一個Delphi語言編寫的勒索病毒,如下所示:
6.創建一個互斥變量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:
7.遍歷進程,結束相關進程,如下所示:
結束相關進程
notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe
如下所示:
8.創建互斥變量cFgxTERNWEVhM2V,獲取主機磁盤目錄,如下所示:
9.遍歷磁盤目錄文件,然後加密,此勒索病毒加密後的文件全填充為零,如下所示:
10.生成勒索信息文件[加密後綴]+ _Entschluesselungs_Anleitung.html,如下所示:
11.生成桌面背景,修改桌面背景,如下所示:
12.調用cmd命令刪除磁盤卷影等操作,如下所示:
最近幾年勒索病毒爆發,尤其是針對企業的勒索病毒攻擊越來越多,關於勒索病毒的防護,給大家分享幾個簡單的方法,通過這些方法可以有效的防禦部分勒索病毒:
1、及時給電腦打補丁,修復漏洞
2、謹慎打開來歷不明的郵件,點擊其中鏈接或下載附件,防止網絡掛馬和郵件附件攻擊
3、儘量不要點擊office宏運行提示,避免來自office組件的病毒感染
4、需要的軟件從正規(官網)途徑下載,不要用雙擊方式打開.js、.vbs、.bat等後綴名的腳本文件
5、升級防病毒軟件到最新的防病毒庫,阻止已知病毒樣本的攻擊
6、開啟Windows Update自動更新設置,定期對系統進行升級
7、養成良好的備份習慣,對重要的數據文件定期進行非本地備份,及時使用網盤或移動硬盤備份個人重要文件
8、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃,黑客會通過相同的弱密碼攻擊其它主機
9、如果業務上無需使用RDP的,建議關閉RDP,以防被黑客RDP爆破攻擊
*本文作者:熊貓正正,轉載自FreeBuf.COM
相關推薦
