回归最本质的信息安全

如何利用谷歌地图实施勒索软件攻击?

2016年9月10日发布

2,471
0
0

导语:近期,新发现了一款勒索软件,它能利用谷歌地图API来确定受害者准确的地理位置,从而有针对性的发动攻击。

近期,新发现了一款勒索软件,它能利用谷歌地图API来确定受害者准确的地理位置,从而有针对性的发动攻击。

这款勒索软件被命名为为Cry 或者CSTO,因为它会假装自己来自于一个名为Central Security Treatment Organization的虚假组织,并且会要求受害者支付1.1个比特币(约625美元)。该勒索软件会依赖.cry扩展加密文件,然后通过UDP向C&C服务器发送信息。

和一般勒索软件不同的是,Cry会使用公共网站(比如Imgur.com 、Pastee.org)托管受害者信息。实际上,它能通过附近的无线SSID查询谷歌地图API,然后确定受害者的位置。

在成功进入受害者电脑之后,勒索软件便会搜集受害者信息,比如Windows版本号,安装的服务包,Windows位类型,用户名,计算机名称,CPU类型等,然后在通过UDP协议将这些数据分别发送给4096个不同的IP地址上。在这些IP地址中有一个是C&C服务器,而UDP是用来隐藏C&C服务器位置的。

Cry 勒索软件把受害者的信息和一些加密文件编译成一张PNG的图片然后上传到Imgur.com上的特定专栏。Imgur对这类PNG文件会给一个特别的名称,然后勒索软件会使用UDP协议把文件名告诉C&C服务器。

利用谷歌地图API确定受害者位置

通过使用谷歌地图API,列举附近无线网络的SSID,勒索软件可以轻而易举的确定受害者的位置。但是,安全研究人员尚不能确定攻击者会用这些地理位置做什么,他们只能猜测,攻击者可能会利用它恐吓受害者支付赎金。

勒索软件还会备份受害者电脑上的快捷方式,然后存储到一个名为old_shortcuts文件夹中,这一做法的目的也无法确定。接下来勒索软件会便开始加密受害者的文件,然后附着一个.cry扩展名的文件。

它还会使用vssadmin delete shadows /all /quiet命令删除Shadow Volume Copies,以阻止用户通过这种方式恢复文件。接着,随机创建一个任务,当用户打开电脑时,它会自动被触发,提醒勒索软件弹出赎金提示窗口。

勒索通知中包含受惠者的ID,以及怎样通过Tor支付网站支付赎金。当受害者访问该网站时,需要输入勒索通知中的个人代码才能登陆。登录之后,用户就能看到需要支付的赎金金额和收款人的比特币地址。

当然,该网站也有帮助页面,可以帮助受害者和恶意软件开发者交流,还有一个免费的解密文件,以证明受害者的文件是可以被解密的。然而安全研究员们指出,在测试过程中,这些免费的解密密钥是失效的,加密文件也同样是不可用的。所以,不建议受害者支付赎金。

​本文翻译于securityweek,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/2113.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

菲比

菲比

嘶吼编辑

发私信

发表评论