黑基Web安全攻防班
黑基网 首页 资讯 安全报 查看内容

VenusLocker黑客组织意图使用GandCrab v4.3勒索软件感染韩国人

2018-9-6 08:49| 投稿: xiaotiger |来自: 互联网

摘要: 来自网络安全公司趋势科技(Trend Micro)的研究人员于近日揭露了一场新发现的垃圾电子邮件活动,旨在传播GandCrab v4.3勒索软件(由趋势科技检测为Ransom_GANDCRAB.TIAOBHO)。电子邮件采用了并不常见的EGG文件(.e ...

来自网络安全公司趋势科技(Trend Micro)的研究人员于近日揭露了一场新发现的垃圾电子邮件活动,旨在传播GandCrab v4.3勒索软件(由趋势科技检测为Ransom_GANDCRAB.TIAOBHO)。电子邮件采用了并不常见的EGG文件(.egg格式)作为其附件,而这恰好是在韩国被广泛使用的压缩文件格式(相当于.zip)。另外,电子邮件的标题、正文以及附件文件名都使用的是韩文。所有这些信息无疑都透露出,这场活动似乎就是专门针对韩国人而发起的。

图1.垃圾电子邮件示例

上图所示的垃圾电子邮件标题可大致翻译为“[公平贸易委员会]电子商务交易违规调查通知书”,攻击者显然意图假借韩国公平贸易委员会(Fair Trade Commission Republic of Korea,KFTC)的名义来实施恶意行为。附件中的EGG文件也被赋予了与标题大致相同的命名,可翻译为“电子商务交易违规通知”。需要注意的是,EGG文件只能通过ALZip(一款韩国压缩软件)解压。

感染链

趋势科技的研究人员表示,他们最初是在8月7日发现了这些垃圾电子邮件。通过对样本的分析发现,附带的EGG文件包含有三个文件:两个伪装成文档(.doc)的.lnk快捷方式文件(LNK_GANDCRAB.E)和一个.exe文件(在解压缩.egg文件之后,会自动隐藏)。在.lnk文件中,你会看到一个“VenusLocker_korean.exe”的签名,这可能意味着VenusLocker组织就是这场垃圾电子邮件活动的幕后操纵者。

图2. EGG文件的内容

如果收件人解压EGG文件并在随后打开了两个伪装为文档的快捷方式文件,那么隐藏在的快捷方式文件中的GandCrab v4.3勒索软件就会被执行。在连接到C2服务器之后,GandCrab v4.3便会开始加密受感染设备上的文件。

图3.感染链

图4. GandCrab v4.3的赎金票据

如何防御GandCrab勒索软件

根据趋势科技的统计数据,在 2018年3月至7月期间所检测到的GandCrab勒索软件感染数量,足以支撑它摘得“全球第二大勒索软件家族”的称号。普通用户或者企业可以采取以来措施来消除这个日益壮大的勒索软件家族的感染风险:

  • 定期备份重要文件;
  • 保持应用程序和操作系统的更新;
  • 安全地使用系统组件和管理工具;
  • 保护网络和服务器;
  • 部署应用程序控制和行为监控;
  • 启用沙盒;
  • 保护网关;
  • 进行安全培训,以形成安全意识。

IoCs

LNK_GANDCRAB.E

(SHA256: 9d932a98c37b9a5454d3ba32596ef0292f55d3f7b3f9831a39df526ad1e686aa)

Ransom_GANDCRAB.TIAOBHO

(SHA256: 8163602357b51402b8e34b385b0228ac4a603e19c6c8006e1c7a7a8099450742)

TROJ_GANDCRAB.TICABAK

(SHA256: f6013b930287d6fdb7d1d403396e4362e34a8d70192ba97b1f35ad97f99552c0)

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6597546513650418179/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部