欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

最新勒索软件“Defray”可利用Microsoft Word文档流传

来源:本站整理 作者:佚名 时间:2017-09-03 TAG: 我要投稿


咱们末了察看到该打单病毒的敕令和节制(C&C)服务器主机名为:“defrayable-listings[.]000webhostapp[.]com”。是以,咱们将它取名为“Defray”。偶合的是动词defray在英文傍边,正是指供给资金付出一部分本钱或费用的意思,但至于受害者详细付出了若干赎金咱们不得而知。
Defray的流传情势
末了,受害者会接收到一封电子邮件,该邮件中则包括了一份嵌入式可履行歹意Word文档附件,特别是OLE package shell工具。
歹意Word文档看起来像是份专利医学申报,并标有英国医院的信息管理与技巧部分的标记。

接着,它会强迫受害者双击该可履行文件以启动过程。
一旦受害者停止了双击操纵,Defray就会像其余打单软件同样被删除,并在%TMP%文件夹中启动一个名为taskmgr.exe或explorer.exe的假装过程并履行。
终极,受害者将会收到文件被加密并请求付出赎金的提醒信息。

该打单软件会在体系的很多文件夹中创立FILES.TXT文件(图3)。 HELP.txt与FILES.txt文件的内容是雷同的,该文件同时还会在履行打单软件的桌面文件夹中。
依据提醒信息,打单者请求受害者向其付出代价5000美金的比特币赎金能力规复被加密的文件。
打单者还供给了一个电子邮件账号,用于与受害者进一步的雷同协商。
Defray支撑对如下文件扩展名的加密:
.001 | .3ds | .7zip | .MDF | .NRG | .PBF | .SQLITE | .SQLITE2 | .SQLITE3 | .SQLITEDB | .SVG | .UIF | .WMF | .abr | .accdb | .afi | .arw | .asm | .bkf | .c4d | .cab | .cbm | .cbu | .class | .cls | .cpp | .cr2 | .crw | .csh | .csv | .dat | .dbx | .dcr | .dgn | .djvu | .dng | .doc | .docm | .docx | .dwfx | .dwg | .dxf | .fla | .fpx | .gdb | .gho | .ghs | .hdd | .html | .iso | .iv2i | .java | .key | .lcf | .matlab | .max | .mdb | .mdi | .mrbak | .mrimg | .mrw | .nef | .odg | .ofx | .orf | .ova | .ovf | .pbd | .pcd | .pdf | .php | .pps | .ppsx | .ppt | .pptx | .pqi | .prn | .psb | .psd | .pst | .ptx | .pvm | .pzl | .qfx | .qif | .r00 | .raf | .rar | .raw | .reg | .rw2 | .s3db | .skp | .spf | .spi | .sql | .sqlite-journal | .stl | .sup | .swift | .tib | .txf | .u3d | .v2i | .vcd | .vcf | .vdi | .vhd | .vmdk | .vmem | .vmwarevm | .vmx | .vsdx | .wallet | .win | .xls | .xlsm | .xlsx | .zip
据Proofpoint报导:“Defray经由过程HTTP和HTTPS协定与内部C&C服务器停止通讯,并向其申报沾染信息。”

末了,Defray会加密文件并禁用启动规复和删除卷影正本。
在Windows 7上,Defray应用GUI监督和杀死运行的法式,比方义务管理器和浏览器。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载