含有紧急出口图的垃圾邮件推送GandCrab勒索软件

ang010ela Web安全 2019年1月27日发布
Favorite收藏

导语:​近日有用户收到一封含有收件人所在建筑物的紧急出口图的邮件,邮件同时推送GandCrab勒索软件。

研究人员近日发现一起新的垃圾邮件活动,垃圾邮件活动会发送收件人所在建筑物的紧急出口图给收件人,紧急出口图同时也被用户安装GandCrab勒索软件。

GandCrab

据Myonlinesecurity.co.uk消息,之前在传播Ursnif银行木马的服务器现在开始推送GandCrab v5.1勒索软件了。

BleepingComputer决定深入分析传播的垃圾邮件和文件,以确定活动的工作原理。

最新的垃圾邮件活动假装发送给接收者所在建筑物的紧急出口图。邮件称来自Rosie L. Ashton,主题是Up to datе еmеrgеnсy еxit map(最新紧急出口图),附件中有一个名为Emergencyexitmap.doc的word文档。

Malspam Email

打开附件后,用户可以看到内容Emergency exit map,和弹窗“enable content”。

Malicious Word Document

恶意word文档

如果用户点击Enable Content,word宏就会执行PowerShell脚本在计算机上下载和安装GandCrab v5.1勒索软件。

混淆的宏

从上面可以看出, PowerShell脚本被混淆了,这样就很难看出到底发生了什么。

Obfuscated Word Macros

混淆的word宏

解混淆后,可以看出宏文件会从http://cameraista.com/olalala/putty.exe下载一个名为putty.exe文件,并保存为C:\Windows\temp\putty.exe,然后执行putty.exe。

Deobfuscated PowerShell Script

反混淆的PowerShell脚本

putty.exe可执行文件其实就是GandCrab 5.1,执行后会开始加密计算机上的文件。就像之前的GandCrab一样,GandCrab会继续加密文件并在文件名中加入随机的扩展。

Encrypted GandCrab 5.1 Files

GandCrab 5.1加密的文件

在加密计算机时,GandCrab还会在每个加密的文件夹中创建勒索信息。勒索信息表明GandCrab的版本是v5.1,并给出如何支付赎金的指示。

GandCrab 5.1 Ransom Note

GandCrab 5.1勒索信息

目前还无法解密GandCrab 5.1加密的文件。这也给我们一个启示就是,不要随便打开邮件中的附件,除非你很清除邮件的发送者以及附件中的内容。研究人员还建议打开附件前使用杀毒软件对文档进行扫描。

本文翻译自:https://www.bleepingcomputer.com/news/security/beware-of-exit-map-spam-pushing-gandcrab-v51-ransomware/如若转载,请注明原文地址: https://www.4hou.com/web/15908.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论