修复用于针对多个扇区的选择性攻击的勒索软件

  • 时间:
  • 浏览:22
  • 来源:it300
修复用于针对多个扇区的选择性攻击的勒索软件

一种新发现的勒索软件变种已被用于针对医疗保健和教育,制造和技术的小型,选择性针对性攻击。

本月早些时候由Proofpoint称为Defray并发现该恶意软件似乎仅通过附加到网络钓鱼电子邮件的Word文档分发两种攻击。这些活动每个只包含几条消息,而诱饵则是针对预定目标专门制作的。

携带勒索软件的Microsoft Word文档包含一个嵌入式OLE打包程序shell对象。当受害者打开文档时,恶意软件将被删除到%TEMP%文件夹中,然后执行名为taskmgr.exe或explorer.exe的文件。

Defray包含一个硬编码的aroun列表虽然来自Proofpoint的安全研究人员注意到恶意软件也会对扩展名不在列表中的文件(例如.lnk和.exe)进行加密,但仍需加密120个文件扩展名进行加密。 Proofpoint表示,勒索软件不会改变加密文件的扩展名。

威胁通过HTTP(明文)和HTTPS与命令和控制服务器通信,以发送感染信息。完成加密过程后,恶意软件会禁用启动恢复并删除卷影副本。在Windows 7上,Defray还会监视和终止正在运行的程序,例如任务管理器和浏览器。

为了通知受害者这些文件发生了什么,勒索软件在“许多”中创建了一个名为FILES.TXT的赎金记录。整个系统中的文件夹,“沿着w在桌面上有一个名为HELP.txt的文件(内容相同)。

“赎金笔记[...]遵循最近赎金要求相当高的趋势;在这种情况下,5000美元。但是,参与者确实提供了电子邮件地址,以便受害者可以协商更小的赎金或提出问题,甚至推荐BitMessage作为接收更及时响应的替代方案。同时,他们还建议组织维护离线备份,以防止未来感染,“Proofpoint透露。

迄今为止,恶意软件仅在两次不同的攻击中被观察到,一次针对制造业和技术垂直市场,8月份15,另一个主要针对医疗保健和教育,8月22日。作为第一个活动的一部分,电子邮件以su为特色bject“Order / Quote”并引用了一个英国水族馆,国际地点。在第二个活动中,这些电子邮件使用了英国医院的标识,声称来自医院的信息管理技术总监。

“Defray Ransomware在小规模针对性攻击中的使用有点不寻常。虽然我们开始看到勒索软件攻击中更频繁的攻击趋势,但它仍然不如大规模的“喷雾和祈祷”活动。 Defray也可能不是作为服务出售,也不是像许多勒索软件一样的许可应用程序。相反,似乎Defray可能是针对特定威胁行为者的个人使用,使其更有可能继续分布在有针对性的小型攻击中,“Proofpoint总结道。

相关:ICS安全专业人员越来越关注勒索软件:调查

相关:网络托管服务提供商向勒索软件攻击者支付100万美元

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01