新的Jaff Ransomware通过Necurs僵尸网络分发

  • 时间:
  • 浏览:27
  • 来源:it300
新的Jaff Ransomware通过Necurs僵尸网络分发

一个全新的勒索软件系列正在通过Necurs分发,这是去年Locky和Dridex活动背后的僵尸网络。

去年负责增加垃圾邮件驱动的恶意软件分发和Locky的主要来源感染,Necurs在2017年的前三个月保持沉默。然而,在3月底,僵尸网络恢复了活动,但它仅在4月下旬才恢复推动Locky。

称为Jaff,新的勒索软件变种正在使用.PDF文件作为Necurs发送的垃圾邮件中的附件,就像Locky上个月恢复活动时所做的那样。打开时,PDF将执行包含恶意宏的Word文档。

除了使用与Locky相同的感染向量之外,Jaff还具有类似的付款页面,但是s使用不同的代码库。然而,Proofpoint安全研究人员说,新的勒索软件据说由Locky Affid = 3和Dridex 220/7200/7500背后的同一个玩家操作。

去年,同一个威胁组织发布了Bart勒索软件, Locky变种不需要连接到命令和控制(CC)服务器来加密受害者的文件。

新发现的恶意软件要求大量赎金,大约2比特币,当时的价格高达3000美元。写作。大多数勒索软件通常要求用户支付大约0.2比特币来恢复加密数据。然而,最近观察到的Sage 2.0需要2000美元的赎金。

Jaff目前针对400多种文件类型,并将.jaff扩展名附加到加密文件类型上。加密后n进程已经完成,勒索软件丢失两个赎金票据,名为ReadMe.bmp和ReadMe.html。

分布式通过Necurs,勒索软件可能会击中大量用户,前提是它背后的群组将继续使用它而不是Locky。演员主要关注Dridex和Locky的发行,定期切换到新的文档类型,诱饵,漏洞利用和其他有助于更有效地传递恶意有效载荷的方法。

“同样,经过几个月的高度分发Dridex - 体积活动,他们引入了Locky勒索软件,最终成为我们观察过的最大规模活动中的主要有效载荷。几个月后,他们还将Bart勒索软件带到了现场。虽然巴特从来没有获得过显着的牵引力,来自同一组的Jaff勒索软件一直在观看,“Proofpoint指出。

相关:Locky Ransomware在新的驱动运动中返回

相关:Dridex攻击利用最近的办公室0日

]

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01