近期,360数字安全集团收到了一例来自用户的勒索攻击反馈。据了解,该攻击会向受害者发送一封声称可免费查询公民隐私信息的钓鱼邮件,勒索软件会随着钓鱼软件中的附件一同传播。一旦不幸中招,受害用户电脑中的文件后缀将被修改为.enc。
360经分析发现,在用于传播勒索软件的钓鱼邮件中,黑客暗示用户可以通过打开附件中的软件来查询他人的开房记录、微信记录以及居住地址等公民的个人隐私数据。
钓鱼邮件的标题及发件人
钓鱼邮件内容的前半部分在大肆宣传“强大能力”,意图诱导收件人上钩,而后半部分则与标题长串“类拼音”字符。
钓鱼邮件内容
邮件中附件程序“Me.exe”图标为一个大大的“查”字,进一步暗示了其所宣称的能力。
钓鱼程序图标
收件人一旦下载并执行了附件中的隐私查询软件(实际为勒索软件),其便会从自身的资源数据中释放出带有核心破坏功能的恶意程序主体到系统临时目录下,命名为ld.exe并加以执行。
钓鱼程序释放核心功能程序并执行
值得一提的是,分析人员发现该样本中存在多处代码执行了sleep操作,该手段多被用于躲避沙箱的检测。
利用Sleep代码试图躲避沙箱检测
一系列操作后,用户点击运行后迎来的并不是窥探欲的满足,而是无情的勒索攻击。勒索软件在完成加密后,会留下文件名为“0a___Hello_ReadMe___.TXT”的勒索信向受害者索要0.002个比特币作为赎金(按本文编写时的汇率计算约合人民币938元)。
勒索信内容
此外,被加密篡改的文件内容头部也会被同意修改为如下内容,来引导受害者阅读勒索信:
被加密文件内容头部数据
经过进一步的分析,360发现该勒索软件主要具备两大“杀伤”功能。
功能一:“加密”文件
从程序代码的角度分析,360发现该软件的加密功能与当前主流的勒索软件大相径庭。该软件的所谓“加密功能”其实并非加密,而仅仅是在比照原始文件的数据大小,依次填入与原数据根本毫无关联的准随机数据,完成用随机数据“覆盖文件”。
勒索软件实际功能代码
经实际测试验证后得出,该勒索软件未对文件进行本地备份,也没有像其勒索信中描述的那样窃取数据传送到服务器。它只是单纯的进行了一次破坏性操作,这也意味着即便受害者缴纳了赎金,黑客也绝无可能对文件进行解密恢复操作。
功能二:占满磁盘
此外,其代码还会遍历所有盘符,并在其中写入超大的垃圾数据文件trash.dat。比较特殊的是会在C盘下,该垃圾数据文件会被写入到系统临时目录(temp)下,而其它盘符下的垃圾数据文件则会被写入到对应盘符的根目录下。
释放垃圾数据文件的恶意代码
这一操作所释放的垃圾数据并没有一个特定的大小,而是会疯狂的“乱写一通”,直到最终将整个磁盘的空间占满为止。
疯狂写入垃圾数据直到磁盘空间被占满
同时,360安全云也监测到了该家族的另外一个传播版本,其勒索信内容与用户反馈的版本仅在钱包地址上有所差别。
该勒索软件另一款变种的勒索信内容
鉴于此次勒索攻击事件,建议广大用户应注重保护个人隐私的同时,也应尊重他人隐私,任何对他人隐私的窥探欲不仅可能将侵犯他人利益,更可能被不法分子利用,成为掉入陷阱的鱼饵。因此,切勿因为一己私欲,随意相信各类不明软件,以免给自己带来不必要的“麻烦”。
同时,我们向广大用户提出以下几点安全建议:
1.安装安全软件并确保其防护功能已被完整开启,保证安全软件能有效保护设备免受恶意攻击;
2.相信安全软件的判断,切勿轻易将报毒程序添加至信任区或退出安全软件;
3.在确定安全性之前,切勿打开各类即时通信软件或邮件中附带的可疑附件或链接地址。
面对当前复杂的网络威胁,360基于多年攻防实战经验和能力推出以安全大模型为核心的360安全云防勒索解决方案,通过云化数据、探针、专家、平台和大模型能力,开放共享给广大政企机构,构建了高效预防、自动监测、智能处置的勒索病毒防御体系,实现多方位、全流程、体系化的勒索防护,目前已实现针对该勒索软件的全面截杀。
想要了解更多详情
欢迎拨打咨询电话:400-0309-360
往期推荐
| |||
| |||
| |||
|