回归最本质的信息安全

;

勒索软件武器库“再添新军”,Windows Server Web服务器安全成灾

2017年11月9日发布

42,182
0
0

导语:近日,网络安全公司Paladion的网络安全实验室发现了一款名为“DogHousePower”的新型勒索软件,该软件专门针对在Windows Server操作系统上运行的Web服务器和数据库服务器,而且有趣的是,它还被托管在GitHub上。

近日,网络安全公司Paladion的网络安全实验室发现了一款名为“DogHousePower”的新型勒索软件,该软件专门针对在Windows Server操作系统上运行的Web服务器和数据库服务器,而且有趣的是,它还被托管在GitHub上。

勒索软件分析 

最开始,我们使用Hybrid Analysis VxStream沙箱和Windows虚拟机对该勒索软件的二进制文件“2.exe”进行了分析,结果发现,DogHousePower需要通过利用Apache Struts 2中的一个已知漏洞(CVE-2017-5638)来发起攻击,并使用Microsoft PowerShell提供勒索软件有效载荷,来进一步下载和传播勒索软件。

赎金需求

赎金通知中的部分内容显示为中文信息,很可能是被用于误导受害者和分析人员追溯DogHousePower的真实消息来源。此外,赎金金额要求是相当于5000元人民币的比特币,这可能表明,DogHousePower勒索软件针对的是亚洲或源自亚洲的人群。

根据赎金通知要求,受害人需要在3天之内向提供的地址支付5000元赎金。勒索者表示,赎金价格可以进行进一步协商,但是如果受害者在3天内未支付5000元赎金,那么赎金金额将上升至价值6000元人民币的比特币,如果超过7天还未支付赎金,那么则需要支付价值7000元人民币的比特币。最后,该赎金通知警告称,如果在13天内没有收到受害者支付的赎金,那么其文件将永远无法解密。

为了在付款后对文件进行解密,勒索者还提供了一个联系电子邮件地址(atlantis.cf@yandex.com)供受害者发送赎金、截屏以及ID信息。此外,勒索者还表示,这些被加密的文件将通过电子邮件进行解密,每封电子邮件不应超过10MB。

勒索通知中还提供了多种语言版本,其中包括英语、俄语、西班牙语以及中文等,并提供了一份“在中国如何购买比特币”的说明文档。

攻击者的另一份通知中还表示,他们正在考虑允许用户像往常一样访问Windows、文档以及设置等程序。

勒索软件家族 

研究人员在对赎金通知中提供的电子邮件地址和ZCash账户进行研究时发现,DogHousePower很有可能是基于“.BELGIAN_COCOA”、“.MyChemicalRomance4EVER”、“LambdaLocker”、“Pickles”以及“CryPy”勒索软件演变发展而来的。

安全建议 

DogHousePower勒索软件针对的是Apache Struts 2中的一个已知漏洞——CVE-2017-5638来发起攻击的,所以,组织机构应该立即修补这一安全漏洞以保护其自身安全。此外,关于该勒索软件的安全更新信息,我们也将进行追踪报道,敬请关注!

本文翻译自:http://www.channelpostmea.com/2017/11/05/paladion-warns-against-ransomware-doghousepower/,如若转载,请注明原文地址: http://www.4hou.com/info/news/8354.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

小二郎

这个人很懒,什么也没留下

发私信

发表评论