最新病毒庫日期:
  • 新型勒索病毒MindLost盯上用戶銀行卡!內附詳細分析報告
2018-02-07 13:52 來源:未知
【文章摘要】近期發現了一款名為MindLost的新型勒索軟件,威脅用戶銀行賬戶安全。

近期發現了一款名為MindLost的新型勒索軟件,和以往的勒索病毒最大不同在于,MindLost不再勒索特幣等數字貨幣贖金,而是要求受害者使用信用卡或借記卡支付贖金,以此來套取銀行卡信息,進而將此信息出售給不法分子牟取更大利益。

  

 

1
病毒介紹:

 

近期發現了一款新型的勒索軟件,該勒索軟件采用C#語言開發,其主要功能是采用AES加密方式加密本地文件,之后引導受害者至指定的網頁要求付費解密文件,與以往勒索軟件不同的是,此次勒索軟件并沒有要求受害者支付比特幣等數字貨幣進行付費解密操作,而是直接要求用戶使用信用卡或借記卡支付贖金,以此來套取銀行卡信息,進而將此信息出售給不法分子從而牟取更大利益。由于該病毒目前對自身有所限制,只會對C:\\User目錄下的指定類型文件進行加密,因此其破壞性還并不是很大,且其代碼中還存在大量錯誤未修改,猜測該勒索軟件可能還處于開發測試階段,還并沒有進入主動傳播狀態,因此建議廣大用戶及時安裝殺毒軟件防止此類勒索軟件的攻擊。

 

2
病毒危害

 

感染該勒索軟件后會導致本地重要文件被攻擊者采用AES算法加密,加密文件會被添加一個名為.enc的新的后綴,之后桌面圖標會被篡改并被要求支付贖金才能解密文件,若用戶在攻擊者的網站支付贖金進行解密操作則會泄露自身信用卡和借記卡信息,從而導致銀行卡被盜刷等更加嚴重的問題。

文件系統變化:

使用AES算法加密C:\\User目錄下的文件,并添加后綴名.enc。

系統注冊表變化:

將勒索軟件路徑寫入注冊表開機啟動項,子健名稱為WinEnc。

網絡癥狀:

到指定域名下載png圖片替換桌面圖案。

 

3
樣本詳細分析報告:

 

1. 該勒索軟件使用.NETFramework 4.7開發環境開發,開發時間為2018年,且此樣本屬于開發版本1.0.0.0版本,該勒索軟件生成名稱為Encryptor,因此猜測此病毒僅僅具備用于加密文件勒索用戶的功能。

2. 根據反編譯的結果可以清晰的看到程序的流程,繪制程序流程圖如下:

3. 反匯編的Main函數依照上述的程序流程順序執行,可以看出該勒索軟件應該還處于初步開發階段,并沒有實現其他很復雜的功能。

4. 依照程序流程,勒索軟件首先隱藏自身窗口,然后將自身程序的路徑寫入注冊表開機啟動項,以實現勒索軟件的開機啟動。

5. 之后便使用Sleep函數等待3分鐘。

 

 

6. 使用“cmd /c SYSTEMINFO”命令查詢當前主機詳細信息,并以該信息包含“VMware”字符串作為虛擬機檢測的手法,若檢查為虛擬機則退出程序,實現動態反調試策略。

7. 檢查當前主機是否成功被勒索過,若已經付費解密過文件則不再進行感染,否則將進行加密文件的勒索操作。

8.  生成AES加密密鑰,填寫加密過程使用的自定義的初始向量IV。

 

 

9.  調用勒索軟件實現的encryptAllFiles()函數實現對感染主機的文件加密操作。在該函數中又調用encryptToEncryptList()函數,最終調用encryptFile()實現對感染主機文件的AES加密操作。

 

10.加密過程為:先在將要加密的同目錄下創建新的文件,該文件名稱為之前文件名稱在后面添加.enc后綴,之后便設置該加密文件為隱藏屬性,然后將加密的字節流寫入到隱藏的加密文件中,加密單個文件后,將該文件連同其路徑記錄到toDelete鏈表中,等到所有加密操作完成后再刪除鏈表中指向的正常文件,最后再統一設置加密文件(*.enc)為可見狀態。

11.在此勒索軟件1.0.0.0版本中,加密過程僅針對后綴名為.txt|.jpg|.png|.pdf|.mp4|.mp3|.c|.py文件進行加密操作,且設置了禁止加密的文件目錄Windows,Program Files和Program Files(x86)。其中目錄設置中還包含錯誤的文件目錄.pdf|.mp4,且其加密目錄范圍被限制在C:\\Users文件夾下,且加密過程完成后還伴隨有打印消耗時間的操作,進一步可以看出此勒索軟件還處于開發測試階段。

12.在執行完加密操作后便將AES密鑰信息通過SQL命令保存在數據庫中。

13.最后到指定站點下載勒索標志圖片,并將其設置為桌面提示用戶付費解密操作,并且將本機UID信息寫入桌面新生成的文件ID.txt,使用此信息進行付費解密操作。

14.提示用戶進行付費解密操作,引導用戶到//mindlost.azurewebsites.net網址進行付費解密文件的操作。



4
應對措施及建議:

 

江民安全專家建議廣大用戶及時安裝殺毒軟件防止此類勒索軟件的攻擊,并從以下幾個方面做好防范措施:

1. 建立良好的安全習慣,不打開可疑郵件和可疑網站。

2. 備份好電腦的重要資料和文檔,定期檢查內部的備份機制是否正常運行。

3.不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接。

4.使用移動介質時最好使用鼠標右鍵打開使用,必要時先要進行掃描。

5. 有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。

6. 安裝專業的防毒軟件升級到最新版本,并開啟實時監控功能。

7.為本機管理員賬號設置較為復雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。

8.  不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。

七乐彩开奖结果走势图 北京pk10直播开奖结果 七星彩有官方app吗 排九至尊大还是天牌大 网易票老时时 北京pk拾全天人工计划 足球比分直播500 大乐透走势基本走势图 北京pk赛车开结果 后二分组后怎么刷 江苏时时开奖规则 单机二人麻将游戏 时时彩怎样稳赚不赔 欢乐生肖平台 四肖博八码网址 刷水套利教学