回归最本质的信息安全

2016年的十大勒索木马

2017年2月2日发布

5,766
2
0

导语:近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发。

一、 HadesLocker

近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发。与之相比,这次的变种增加了多层嵌套解密、动态反射调用 等复杂手段,外加多种混淆技术,提升了分析难度。

HadesLocker是10月份新爆发的一个敲诈勒索类木马,会加密用户 特定后缀名的文件,包括本地驱动器和网络驱动器, 加密后文件后缀为.~HL外加5个 随机字符,然后生成txt,html、png三种形式的文件来通知用户支付 赎金,桌面背景也会被改为生成的png文件。

WechatIMG29.jpeg

二、Zepto(Lock变种)

Zepto病毒是6月底该勒索软件与知名勒索软件家族“Locky”有紧密联系。”Zepto”通过钓鱼邮件传播,邮件中附带一个“.zip”格式的压缩包,其中包含恶意的“.js”javascript脚本文件,一旦执行,受害者的文件资料会被勒索软件使用RSA算法加密,并会在后缀名中增加“.zepto”字符串。

WechatIMG30.jpeg

三、Petya

Petya,最初被安全公司趋势科技发现。它的标志就是“死亡红屏”。在成功渗透进入 Windows 系统之后,木马会强迫用户重启电脑。而重启之后,电脑就再也进入不了 Windows 了,而是会自动加载一个勒索页面,向受害者索要 0.99 比特币的赎金。

然而,这个时候如果急于支付赎金,就太冤了。经过分析,安全人员发现了这个木马是由“偷懒的黑客”设计的。它虽然看起来凶恶得无以复加,但实际上只修改了系统的引导记录以及加密了主文件表(主文件表是一个描述所有文件体积、位置和目录结构的东东)。而真正的文件还原封不动地躺在磁盘里。

WechatIMG31.jpeg

四、Jigsaw

Jigsaw,翻译成中文就是德州电锯杀人狂。制造他的黑客应该是个电锯迷。不得不说,Jigsaw的用户体验非常完美:

中招之后屏幕上会出现一个经典的面具——电锯杀人狂。在左上角辅以骇客帝国版本的文字:“I want to play a game…”

这个游戏的玩法是用户必须在一个小时之内支付赎金,否则就会自动删除一个用户的文件。以此类推,每过一个小时,木马都会“撕票”一个文件。只是这样还不够刺激,如果你试图逃离游戏——例如重启电脑神马的——黑客会立刻删掉1000个文件以示惩戒。

WechatIMG32.jpeg

五、Autolocky

Locky 在勒索界是泰斗级的木马。于是有黑客相信:向经典致敬的最佳方法就是抄袭。Autolocky 就是山寨版的 Locky,它对于 Locky 的模仿可谓达到了登峰造极的地步。从名字上来看,Autolocky 似乎是 Locky 的“加强版”,Autolocky 在目标文件的选择上和 Locky 完全相同;连锁定之后的扩展名都采用了和原版一模一样的“.locky”,看起来就是这么专业。但是,山寨之所以被称为山寨,就是没有掌握“核心科技”,所以他们的宿命往往是:在现实面前遭遇可耻的失败。Autolocky 费劲心机地生成了一个密钥,却迫于渣到爆的编码水平,把密钥用 IE 明文回传到黑客的服务器上。而黑客可能忘记了,IE 对于数据传输是有历史记录的。

所以安全研究员只要翻翻历史记录,就可以轻易地找到这个密钥。不用麻烦黑客就得到了解锁密码。得知这个“秘密”之后,制作解锁工具甚至不需要五分钟。

WechatIMG33.jpeg

六、Cerber

Cerber它使用了 AES 加密计算法将受害者的文件编码。与其他的“勒索软件”类型病毒一样,用户可以将它从含有恶意执行文件的恶意垃圾邮件里下载。关于这个病毒有趣的一件事情是如果你居住在阿塞拜疆、亚美尼亚、格鲁吉亚、白俄罗斯、吉尔吉斯斯坦、哈萨克斯坦、摩尔多瓦、土库曼斯坦、塔吉克斯坦、俄罗斯、乌兹别克斯坦或乌克兰,它就不会攻击你的计算机,但如果以上都不是你正在居住的国家,病毒将会攻击你的计算机。当它成功进入计算机后,它会在你下次重新开启计算机时自动运行并随机发送错误讯息,然后将你的计算机重新开启到“带有网络的安全模式”。过后,这个病毒会再次重新开启你的计算机,这次计算机重回正常的运行,但不幸的是它就在这个时候启动了加密过程。

WechatIMG34.jpeg

七、Maktub Locker

Maktub Locker是一款勒索软件,GUI界面设计的很漂亮,并且有着一些有趣的特征。勒索软件的原始名字来源于阿拉伯语言”maktub”,意思是  “这是写好的”或者”这是命运”。作者很可能想通过这样的引用来描述勒索软件的行为,暗示这是不可避免的,就像命运一样。

Maktub Locker显然是由专业人士开发的。从完整的产品的复杂性可以看出,它是一个团队的不同专业领域成员的合作成果,甚至包括包装业务的网站,这一切都是精心打磨。我们不知道是否crypter / FUD是由同一团队设计 – 它也可能是在黑市上被纳为可用的商业解决方案。但是,防御其的唯一途径 – 核心DLL也被模糊处理了,并且可以这肯定是由经验非常丰富的人编写的。

WechatIMG35.jpeg

八、Locky

2016年2月,互联网遭到一种最新的被称为Locky木马(卡巴斯基实验室产品将其检测为Trojan-Ransom.Win32.Locky)的勒索软件攻击。截止到目前,这种木马仍旧在网络上大肆传播。卡巴斯基实验室产品在全球114个国家都发现了这种木马试图感染用户的行为。

我们对Locky木马样本进行分析后发现,这种木马是一种全新的勒索软件威胁,是从头开始编写的。那么,Locky木马到底是什么,我们应当如何保护自己,避免遭受其危害呢?为了传播这种木马,网络罪犯发送大量包含恶意附件的垃圾邮件信息。最初,这些恶意垃圾邮件包含一个DOC文件附件,DOC文件中包含一个宏,能够从远程服务器中下载Locky木马并执行它。

WechatIMG36.jpeg

九、Globe

来自AVG公司的国外研究人员发现一种新型的勒索软件Fantom,该勒索软件运行后,会弹出一个伪造的Windows更新界面,用户可以关闭这个界面,但受害者系统的文件仍然会被加密,被加密的文件扩展名被改为“.fantom”并

修改系统的桌面背景图片,显示勒索信息。

要求受害者与fantomd12@yandex.ru 或fantom12@techemail.com 联系支付赎金。

WechatIMG37.jpeg

十、SkidLocker

SkidLocker勒索软件使用AES-256加密算法,通过检索文件信息的内容来加密不同类型的文件,勒索金额需要付款0.500639比特币(208.50美元)。

本文为SAINTSEC授权嘶吼发布,如若转载,请注明原文地址: http://www.4hou.com/info/observation/3129.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

SAINTSEC

SAINTSEC

SAINTSEC团队账号

发私信

发表评论

    天海 春香
    天海 春香 2017-02-03 09:15

    感觉第九个邮箱都有了,还没端掉?

    lapua
    lapua 2017-02-03 00:11

    年终大盘点啊