安全動(dòng)態(tài)

FTCODE勒索軟件再升級(jí) 現(xiàn)在會(huì)加密系統(tǒng)文件并竊取瀏覽器密碼

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-01-22    瀏覽次數(shù):
 

信息來(lái)源:cnBeta

       研究人員發(fā)現(xiàn)了FTCODE勒索軟件的更新版本,這一次看起來(lái)作者似乎將更多的精力放在了密碼竊取功能上。ThreatLabZ團(tuán)隊(duì)進(jìn)行的分析表明,該惡意軟件專門(mén)針對(duì)說(shuō)意大利語(yǔ)的Windows用戶,并且最新版本(檢測(cè)為1117.1)采用VBScript下載方法進(jìn)行更復(fù)雜的攻擊。

攻擊者使用電子郵件將勒索軟件傳播到潛在目標(biāo),惡意電子郵件包括受感染的文檔和VBScript,它們?cè)趫?zhí)行時(shí)運(yùn)行會(huì)觸發(fā)勒索軟件感染的PowerShell腳本。該腳本首先將誘餌圖像下載到%temp%文件夾中,并試圖誘使用戶相信他們只是收到了圖像,然后在后臺(tái)下載并運(yùn)行勒索軟件。

該惡意軟件試圖通過(guò)在Windows啟動(dòng)文件夾中創(chuàng)建一個(gè)名為WindowsIndexingService.lnk的快捷方式來(lái)獲得持久運(yùn)行能力。此外,它還會(huì)創(chuàng)建一個(gè)計(jì)劃任務(wù),稱為WindowsApplicationService,快捷方式和計(jì)劃任務(wù)都共同指向惡意的WindowsIndexingService.vbs腳本。

一旦設(shè)備被感染,勒索軟件就會(huì)對(duì)多種文件格式進(jìn)行加密,F(xiàn)TCODE使用GUID生成密碼,并生成較早的隨機(jī)字符集。它使用Rijndael對(duì)稱密鑰加密來(lái)加密上述每個(gè)擴(kuò)展文件的40960字節(jié)。初始化向量基于11個(gè)隨機(jī)生成的字符,并在根文件夾中放入名為“READ_ME_NOW.htm”的勒索注釋。

完成準(zhǔn)備后,勒索軟件會(huì)指示用戶下載Tor瀏覽器并訪問(wèn)鏈接,在該鏈接上,他們需要付費(fèi)才能使用解密密鑰來(lái)解鎖文件。

除了加密文件之外,勒索軟件還從包括Internet Explorer,Mozilla Firefox,Mozilla Thunderbird,Google Chrome和Microsoft Outlook在內(nèi)的流行瀏覽器和電子郵件客戶端中竊取憑據(jù)。勒索軟件可以掃描這些應(yīng)用程序存儲(chǔ)憑據(jù)的默認(rèn)位置,提取數(shù)據(jù),然后將其上傳到惡意軟件作者把控的服務(wù)器。

 
 

上一篇:標(biāo)準(zhǔn)化更新-BDSEC_upgrade_package_2020-01-16

下一篇:2020年防控新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將成為重中之重