現了一種令人好奇的勒索軟體新變種。在 ElevenPaths,我們已經能夠下載並分析新的改進版本,這些版本會犯一些有趣的錯誤,例如洩露您的解密密碼的錯誤。這個樣本之所以引起關注,是因為從理論上講,它提供了兩種解密文件的公式:要么通過付費,要么被感染者成功感染兩個或更多支付贖金的人。
簡單的方式和討厭」的方式
除了已經對這個新版本進行的評論之外,我們還重點關注我們在 ElevenPaths 分析過的演變中 卡達電子郵件列表 最有趣的方面。基本功能與往常一樣:許多文件根據其擴展名進行加密,並要求支付 1 比特幣的贖金(高於通常要求的平均水平)。
這個勒索軟體第一次做的是提供兩種
解密內容的方法:“正常”方式,即支付贖金,以及“骯髒”方式(他們這麼稱呼它),即如果鏈接到一個可執行文件被發送給兩個人,他們被感染並付費,您將獲得一個「免費」代碼來解密您的內容。一種擴散“推薦朋友計劃”,攻擊者以一次感染的價格“確保”兩次感染,這是一種更有效的傳播方法,因為受感染用戶選擇的受害者總是更傾向於執行來自一個熟人。
另一種選擇是付款
(所謂的“折扣”條件)。同樣重要的是要注意,勒索軟體吸引了受害者的敏感性,聲稱這筆錢將用於一個好的事業:減輕敘利亞戰爭的影響。它被稱為“popcorn”,因為第一個版本使用了 popcorn-time-free.net 域,儘管最新版本沒有。
喚起受害者的敏感度
當他們說無事可做並且只有他們可以解密資料時,他們也會撒謊。
技術方面
該勒索軟體在技術層面上是如何運作的?它是由一個獨立團體開發的,沒有遵循“ 已知”家族的 泰国数据 指導方針,因此還不是很發達。除了 MalwareHunterTeam 分析的版本之外,我們還可以在 ElevenPaths 存取新樣本。這些是我們注意到的一些有趣的方面。
程式是用C#寫的
需要.NET4才能運作。該可執行檔是為每個受感 韓語電子郵件範例 染的使用者「即時」建立的,並為每個受害者插入了唯一的 ID 程式碼。有趣的是,
所有變數都嵌入
在程式碼中,並且是在伺服器端創建的。此外,它沒有遵循專業勒索軟體的通常模式,即每個檔案使用不同的對稱金鑰加密,然後使用非對稱加密技術加密該金鑰。相反,所有文件都使用相同的對稱金鑰進行加密。從這裡開始,了解密碼只需分析可執行檔的程式碼。
密碼
例如,如果我們使用ILSpy反組譯程式碼,我們可以看到包含 base64 密碼的行。快速解碼將使我們能夠取回密碼和資料。我們還沒有創建特定的工具來執行此操作,因為攻擊者很可能會快速改變策略,而且目前該惡意軟體似乎並不是非常先進或廣泛傳播(如果有人被感染,請聯繫我們)。事實上,前一天其第一個版本的密碼始終是「123456」。
如前所述,密碼(以及所有其他變數)應該在建立可執行檔時由伺服器嵌入。經過我們的分析,結果發現它是一個 MD5 雜湊值,但我們仍然不知道它會回應什麼。 MD5 雜湊在程式碼中使用base64三重編碼。