• 樱桃-热门标签-华商生活 2019-05-15
  • 足协重罚王燊超:通报批评 禁止入选国家队1年 2019-05-15
  • 北大“寻真”展:半部中国考古史 2019-04-30
  • 南昌PM2.5浓度写进目标责任书 切实防治大气污染 2019-04-17
  • 我国社会组织正成为全球治理体系中的新生力量 2019-04-12
  • 骞垮窞甯傜綉缁滃晢鍝佷氦鏄撲笌鏈嶅姟鐩戠骞冲彴 2019-04-06
  • 【大考2018】新安晚报爱心送考车出发 2019-04-06
  • 烽火中国—光明日报、光明网纪念抗战胜利70周年特别策划 2019-04-04
  • 想家了!红红火火迎新年 青城呼和浩特年味十足 2019-03-18
  • 打造-热门标签-华商生活 2018-12-23
  • 习近平:切实把新发展理念落到实处 不断增强经济社会发展创新力 2018-12-23
  • 法中委员会秘书长:法中两国将在创新合作中碰撞出火花 2018-12-02
  • 【中国梦·大国工匠篇】“景德镇拉坯第一人”占绍林:手艺“满意”前谢绝资本加入 2018-11-25
  • 最新病毒库日期:
    • 新型勒索病毒MindLost盯上用户银行卡!内附详细分析报告
    2018-02-07 13:52 来源:未知
    【文章摘要】近期发现了一款名为MindLost的新型勒索软件,威胁用户银行账户安全。

    2018今晚上开什么特马 www.mblop.com 近期发现了一款名为MindLost的新型勒索软件,和以往的勒索病毒最大不同在于,MindLost不再勒索特币等数字货币赎金,而是要求受害者使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子牟取更大利益。

      

     

    1
    病毒介绍:

     

    近期发现了一款新型的勒索软件,该勒索软件采用C#语言开发,其主要功能是采用AES加密方式加密本地文件,之后引导受害者至指定的网页要求付费解密文件,与以往勒索软件不同的是,此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作,而是直接要求用户使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子从而牟取更大利益。由于该病毒目前对自身有所限制,只会对C:\\User目录下的指定类型文件进行加密,因此其破坏性还并不是很大,且其代码中还存在大量错误未修改,猜测该勒索软件可能还处于开发测试阶段,还并没有进入主动传播状态,因此建议广大用户及时安装杀毒软件防止此类勒索软件的攻击。

     

    2
    病毒危害

     

    感染该勒索软件后会导致本地重要文件被攻击者采用AES算法加密,加密文件会被添加一个名为.enc的新的后缀,之后桌面图标会被篡改并被要求支付赎金才能解密文件,若用户在攻击者的网站支付赎金进行解密操作则会泄露自身信用卡和借记卡信息,从而导致银行卡被盗刷等更加严重的问题。

    文件系统变化:

    使用AES算法加密C:\\User目录下的文件,并添加后缀名.enc。

    系统注册表变化:

    将勒索软件路径写入注册表开机启动项,子健名称为WinEnc。

    网络症状:

    到指定域名下载png图片替换桌面图案。

     

    3
    样本详细分析报告:

     

    1. 该勒索软件使用.NETFramework 4.7开发环境开发,开发时间为2018年,且此样本属于开发版本1.0.0.0版本,该勒索软件生成名称为Encryptor,因此猜测此病毒仅仅具备用于加密文件勒索用户的功能。

    2. 根据反编译的结果可以清晰的看到程序的流程,绘制程序流程图如下:

    3. 反汇编的Main函数依照上述的程序流程顺序执行,可以看出该勒索软件应该还处于初步开发阶段,并没有实现其他很复杂的功能。

    4. 依照程序流程,勒索软件首先隐藏自身窗口,然后将自身程序的路径写入注册表开机启动项,以实现勒索软件的开机启动。

    5. 之后便使用Sleep函数等待3分钟。

     

     

    6. 使用“cmd /c SYSTEMINFO”命令查询当前主机详细信息,并以该信息包含“VMware”字符串作为虚拟机检测的手法,若检查为虚拟机则退出程序,实现动态反调试策略。

    7. 检查当前主机是否成功被勒索过,若已经付费解密过文件则不再进行感染,否则将进行加密文件的勒索操作。

    8.  生成AES加密密钥,填写加密过程使用的自定义的初始向量IV。

     

     

    9.  调用勒索软件实现的encryptAllFiles()函数实现对感染主机的文件加密操作。在该函数中又调用encryptToEncryptList()函数,最终调用encryptFile()实现对感染主机文件的AES加密操作。

     

    10.加密过程为:先在将要加密的同目录下创建新的文件,该文件名称为之前文件名称在后面添加.enc后缀,之后便设置该加密文件为隐藏属性,然后将加密的字节流写入到隐藏的加密文件中,加密单个文件后,将该文件连同其路径记录到toDelete链表中,等到所有加密操作完成后再删除链表中指向的正常文件,最后再统一设置加密文件(*.enc)为可见状态。

    11.在此勒索软件1.0.0.0版本中,加密过程仅针对后缀名为.txt|.jpg|.png|.pdf|.mp4|.mp3|.c|.py文件进行加密操作,且设置了禁止加密的文件目录Windows,Program Files和Program Files(x86)。其中目录设置中还包含错误的文件目录.pdf|.mp4,且其加密目录范围被限制在C:\\Users文件夹下,且加密过程完成后还伴随有打印消耗时间的操作,进一步可以看出此勒索软件还处于开发测试阶段。

    12.在执行完加密操作后便将AES密钥信息通过SQL命令保存在数据库中。

    13.最后到指定站点下载勒索标志图片,并将其设置为桌面提示用户付费解密操作,并且将本机UID信息写入桌面新生成的文件ID.txt,使用此信息进行付费解密操作。

    14.提示用户进行付费解密操作,引导用户到//mindlost.azurewebsites.net网址进行付费解密文件的操作。



    4
    应对措施及建议:

     

    江民安全专家建议广大用户及时安装杀毒软件防止此类勒索软件的攻击,并从以下几个方面做好防范措施:

    1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。

    2. 备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。

    3.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

    4.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

    5. 有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

    6. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。

    7.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

    8.  不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

  • 樱桃-热门标签-华商生活 2019-05-15
  • 足协重罚王燊超:通报批评 禁止入选国家队1年 2019-05-15
  • 北大“寻真”展:半部中国考古史 2019-04-30
  • 南昌PM2.5浓度写进目标责任书 切实防治大气污染 2019-04-17
  • 我国社会组织正成为全球治理体系中的新生力量 2019-04-12
  • 骞垮窞甯傜綉缁滃晢鍝佷氦鏄撲笌鏈嶅姟鐩戠骞冲彴 2019-04-06
  • 【大考2018】新安晚报爱心送考车出发 2019-04-06
  • 烽火中国—光明日报、光明网纪念抗战胜利70周年特别策划 2019-04-04
  • 想家了!红红火火迎新年 青城呼和浩特年味十足 2019-03-18
  • 打造-热门标签-华商生活 2018-12-23
  • 习近平:切实把新发展理念落到实处 不断增强经济社会发展创新力 2018-12-23
  • 法中委员会秘书长:法中两国将在创新合作中碰撞出火花 2018-12-02
  • 【中国梦·大国工匠篇】“景德镇拉坯第一人”占绍林:手艺“满意”前谢绝资本加入 2018-11-25
  • pc蛋蛋程序 今晚p3开机号是多少 足彩比分直播500 排列3吧 老时时彩360记录 胜平负计算器让球胜平负足球 北京28是不是诈骗 竞彩足球比分直播500万 刮刮乐玩 6场半全场18093 北京pk10对冲刷流水 排列5走势图 生肖时时彩 开奖结果 北京赛车规律如何抓 彩票幸运赛车前三遗漏 哈尔滨快乐扑克派