安基網 首頁 資訊 安全報 查看內容

新型FTCode無文件勒索病毒正通過垃圾郵件大肆傳播

2019-10-8 11:41| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日國外某獨立惡意軟件安全研究人員曝光了一個新型的FTCode PowerShell勒索病毒,如下所示:此勒索病毒主要通過垃圾郵件進行傳播,發送的垃圾郵件會附加一個壓縮包,壓縮包里面包含一個惡意的DOC文檔,從app.any.run上下載到相應DOC樣本,打開DOC文件,如下所示:啟動惡 ...

(本文轉載自安全分析與研究)

近日國外某獨立惡意軟件安全研究人員曝光了一個新型的FTCode PowerShell勒索病毒,如下所示:

此勒索病毒主要通過垃圾郵件進行傳播,發送的垃圾郵件會附加一個壓縮包,壓縮包里面包含一個惡意的DOC文檔,從app.any.run上下載到相應DOC樣本,打開DOC文件,如下所示:

啟動惡意宏代碼,相應的文檔內容,如下所示:

惡意宏代碼,啟動PowerShell進程執行腳本,如下所示:

從惡意服務器下載PowerShell腳本執行,服務器URL地址:

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打開惡意服務器腳本,如下所示:

從惡意服務器下載VBS腳本,然后設置計劃任務自啟動項,如下所示:


相應的計劃任務自啟動項WindowsApplicationService,如下所示:

惡意服務器URL

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&,腳本內容,如下所示:

解密后的VBS腳本,是一個PowerShell腳本,如下所示:

再次解密PowerShell腳本之后為一個惡意軟件下載器,會下載安裝其他惡意軟件。

下載完VBS腳本,設置計劃任務之后,FTCode PowerShell惡意腳本會解密內置字符串生成一個RSA加密密鑰,如下所示:

刪除磁盤卷影,操作系統備份等,如下所示:

然后開始加密文件,對指定的文件后綴進行加密,加密后的文件后綴名FTCODE,如下所示:

加密后的文件,如下所示:

在每個加密的文件目錄生成勒索提示信息HTM文件READ_ME_NOW.htm,內容如下所示:


需要支付500美元進行解密,勒索病毒解密網站

http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=[guid]

IOC

HASH

A5AF9F4B875BE92A79085BB03C46FE5C

C&C

185.158.248.151

185.120.144.147

home.southerntransitions.net

connect.southerntransitions.com

URL

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&

hxxp://connect.southerntransitions.com/

hxxp://home.hopedaybook.com/?need=9f5b9ee&vid=dpec1&9337

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec1&

hxxp://home.isdes.com/?need=6ff4040&vid=dpec2&

最近一兩年針對企業攻擊的勒索病毒越來越多,不斷有新的變種以及勒索病毒新家族出現,真的是越來越多了,各企業一定要高度重視,黑產團伙一直在尋找新的攻擊目標......



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6745251160501781003/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧