当前位置:安全资讯 >> 全文

左手挖矿右手勒索:新型病毒拒绝空手而归

发布时间:2018-7-6 10:53 标签: 恶意软件,密币,勒索
分享到 0

安全研究员发现了一款有意思的恶意软件,它根据电脑系统配置确定是通过密币挖矿机还是通过勒索软件实施感染。

勒索软件锁定受害者计算机并阻止受害者访问加密数据,除非受害者支付勒索金获得解密密钥,而密币挖矿机利用受感染系统的 CPU 挖掘数字货币。

勒索软件和基于挖掘密币的攻击都是今年面临的最大威胁,而且它们之间存在很多相似之处,如它们都并非复杂攻击,攻击非目标用户以牟利并涉及数字货币等。

然而,由于无法保证所锁定的受害者在没有重要信息丢失的情况下会支付勒索金,因此在过去几个月中,网络犯罪分子转向更具欺诈性的密币挖掘,通过使用受害者的计算机牟利。

卡巴斯基实验室的安全研究员发现了 Rakhni 勒索软件家族的新变体,它现已升级,包含密币挖掘能力。该恶意软件用 Delphi 编写而成,将 Word 邮件附件作为诱饵攻击受害者。受害者打开该附件后会收到保持文档并启用编辑的消息提示。

这份 Word 文档中包含一个 PDF 图标,如被点击,则会在受害者计算机上启动一个恶意可执行文件并立即在执行时展示虚假的出错消息,诱骗受害者认为打开文件所需的系统文件丢失。

确定勒索还是挖矿

然而,恶意软件在后台会执行很多反虚拟机和反沙箱检查,以确定是否可以能在不被发现的情况下感染系统。如果所有条件都具备,恶意软件就会执行更多检查来决定最终的感染 payload 即勒索软件或挖矿机。

(1)   安装勒索软件:如果目标系统的 AppData 部分存在“Bitcoin”文件夹。

    在通过 RSA-1024 加密算法加密文件之前,这款恶意软件终止匹配预定义的热门应用列表的进程,并随后通过文本文件展示勒索留言。

(2)   安装密币挖矿机:如果 Bitcoin 文件夹不存在且机器拥有超过两个的逻辑处理器。

    如果系统遭密币挖矿机感染,那么它通过 MinerGate 工具在后台挖掘门罗币 (XMR)XMO DSH 密币。

    除此之外,该恶意软件还使用 CertMgr.exe 工具安装虚假的声称由微软和 Adobe Systems Incorporated 颁发的根证书,试图将挖矿机伪装成受信任进程。

(3)   激活蠕虫组件:如不存在 Bitcoin 文件夹,只存在一个逻辑处理器的情况。

这个组件可帮助恶意软件自我复制到所有位于使用共享资源的本地网络中的计算机中。

       不管恶意软件选择了哪种感染方式,它都会检查系统是否启用了所列出的杀毒进程。如果未发现,恶意软件就会运行多个 cmd 命令,试图禁用 Windows Defender

    监控功能

研究人员指出,“另外一个有意思的事实是,恶意软件还具有一些间谍软件的功能,信息中包括一个正在运行进程的列表以及截屏附件。”

这款恶意软件变体主要攻击的用户位于俄罗斯 (95.5%),少量用户分布在哈萨克斯坦 (1.36%)、乌克兰 (0.57%)、德国 (0.49%) 以及印度 (0.41%)

免遭此类攻击的最佳方式首先是永远不要打开邮件提供的可疑文件和链接。另外,养成备份和更新杀毒软件的好习惯。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html
参与讨论,请先 登录 | 注册

用户评论