勒索软件武器库“再添新军”，Windows Server Web服务器安全成灾

近日，网络安全公司Paladion的网络安全实验室发现了一款名为“DogHousePower”的新型勒索软件，该软件专门针对在Windows Server操作系统上运行的Web服务器和数据库服务器，而且有趣的是，它还被托管在GitHub上。

勒索软件分析 

最开始，我们使用Hybrid Analysis VxStream沙箱和Windows虚拟机对该勒索软件的二进制文件“2.exe”进行了分析，结果发现，DogHousePower需要通过利用Apache Struts 2中的一个已知漏洞（CVE-2017-5638）来发起攻击，并使用Microsoft PowerShell提供勒索软件有效载荷，来进一步下载和传播勒索软件。

赎金需求

赎金通知中的部分内容显示为中文信息，很可能是被用于误导受害者和分析人员追溯DogHousePower的真实消息来源。此外，赎金金额要求是相当于5000元人民币的比特币，这可能表明，DogHousePower勒索软件针对的是亚洲或源自亚洲的人群。

根据赎金通知要求，受害人需要在3天之内向提供的地址支付5000元赎金。勒索者表示，赎金价格可以进行进一步协商，但是如果受害者在3天内未支付5000元赎金，那么赎金金额将上升至价值6000元人民币的比特币，如果超过7天还未支付赎金，那么则需要支付价值7000元人民币的比特币。最后，该赎金通知警告称，如果在13天内没有收到受害者支付的赎金，那么其文件将永远无法解密。

为了在付款后对文件进行解密，勒索者还提供了一个联系电子邮件地址（atlantis.cf@yandex.com）供受害者发送赎金、截屏以及ID信息。此外，勒索者还表示，这些被加密的文件将通过电子邮件进行解密，每封电子邮件不应超过10MB。

勒索通知中还提供了多种语言版本，其中包括英语、俄语、西班牙语以及中文等，并提供了一份“在中国如何购买比特币”的说明文档。

攻击者的另一份通知中还表示，他们正在考虑允许用户像往常一样访问Windows、文档以及设置等程序。

勒索软件家族 

研究人员在对赎金通知中提供的电子邮件地址和ZCash账户进行研究时发现，DogHousePower很有可能是基于“.BELGIAN_COCOA”、“.MyChemicalRomance4EVER”、“LambdaLocker”、“Pickles”以及“CryPy”勒索软件演变发展而来的。

安全建议 

DogHousePower勒索软件针对的是Apache Struts 2中的一个已知漏洞——CVE-2017-5638来发起攻击的，所以，组织机构应该立即修补这一安全漏洞以保护其自身安全。此外，关于该勒索软件的安全更新信息，我们也将进行追踪报道，敬请关注！