自2月以来,360威胁情报中心监测到一大波勒索软件潮,国内单位组织陆续开始受到的冲击,公司对外的邮箱收到大量如下携带恶意附件的邮件。
邮件内容大致如下:
员工如不小心打开恶意附件,恶意软件会对外连接服务器下载组件,加密系统上的重要文件,要求用户付费解密。
样本行为分析
邮件附件为只有两个JS脚本的压缩包:
JS经过混淆,通过分析得知,受害者双击执行JS后创建MSXML2.XMLHTTP对象下载http://vaseline-amar-ujala.in/euwiyr4hdc可执行文件,并通过WScript.Shell对象的run方法启动Locky主进程:
下载的exe经过大量的混淆处理:
进程启动后将机器ID写入HKEY_CURRENT_USER\Software\Locky\id,并将用到的加密公钥写入HKEY_CURRENT_USER\Software\Locky\pubkey:
随后木马开始遍历目录寻找.xls、.ppt、.doc、.wb2、.jpg、.wav等文件格式,使用RSA加密为Id+哈希.locky文件,并在存在文档得目录下写入恢复指导文档:
完成加密后将HKEY_CURRENT_USER\Software\Locky\completed设置为1,并通过加密的数据告知服务器:
如下是部分通信地址列表:
最后将桌面设置为恢复指导图,并弹出恢复指导文档,等待受害者交付赎金:
根据360威胁情报中心的数据,自3月以来确认中招的用户超过万人,淘宝上甚至已经出现协助代付款解密的服务。在此建议用户不要随意点击来源不明的邮件。
还没有评论,来说两句吧...