欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Deniz Kizi(美人鱼)打响2020年全球勒索病毒攻击的第一枪

来源:本站整理 作者:佚名 时间:2020-02-17 TAG: 我要投稿

2019年已经过去了,在过去的一年时间里,各种勒索病毒运营团伙针对全球各国的企事业单位,大中小型企业不断发起网络攻击,全球几乎每天都有被勒索病毒攻击的新闻被曝光,勒索病毒攻击成为了2019年网络安全的最大威胁之一,深信服安全团队在过去的一年里跟踪分析了多款新型的勒索病毒,比如2019年出现的几款流行的勒索病毒:Sodinokibi勒索病毒、Phobos勒索病毒、Maze勒索病毒、Buran勒索病毒、MegaCortex勒索病毒等,近期深信服安全团队跟踪观察到一款新型的勒索病毒Deniz Kızı(美人鱼),这款新型的勒索病毒打响了2020年全球勒索病毒攻击的第一枪
Deniz Kizi勒索病毒最早于2019年12月17日,被国外安全研究人员公布在相关论坛上,如下所示:

2019年12月20日,该勒索病毒再次被发现,并公布在论坛上,如下所示:

 
研究人员指出该勒索病毒运营团队其它几个家族变种还有KesLan、MaMo434376、MZRevenge等勒索病毒,同时专业的勒索病毒信息收集网站id-ransomware也迅速收录了此勒索病毒的相关信息,如下所示:

 
该勒索病毒目前主要是针对使用英语和土耳其语的用户进行攻击,但不排除些勒索病毒未来会在全球范围内进行传播。
详细分析
Deniz_Kizi(美人鱼)勒索病毒在不到一个月的时间里,出现了多次变种版本,2019年12月17日,最初始的版本是一个使用NET语言编写的下载器,如下所示:

 
该下载器会修改各种Windows的安全策略注册表项,然后从远程服务器下载Deniz_Kizi勒索病毒母体,并执行,如下所示:

下载勒索病毒的服务器URL地址:
hxxps://anonymousfiles[.]io/f/svchost_3qrDPzx.exe
下载回来的勒索病毒样本,采用Delphi语言进行编写,VMP加壳处理,如下所示:

 
此勒索病毒加密的文件后缀列表,如下所示:

 
在内存中解密出来的勒索病毒提示信息,如下所示:

此勒索病毒加密后的文件后缀名为Deniz_Kizi,如下所示:

 生成的勒索提示信息文件Please Read Me!!!.hta,内容如下所示:

 

黑客的邮箱地址:
yardimail1@aol.com
yardimail2@aol.com
2019年12月20日,发现其变种版本,名称为Konyali_Zula_Hack_V4_2019_protected.exe,采用VC++编写的外壳程序对核心代码进行加密处理,如下所示:

 通过动态调试,解密出里面的核心数据,如下所示:

再次解密得到核心代码,如下所示:

执行到解密出来的核心代码,如下所示:

核心代码会在临时目录下生成svchost.exe程序,然后启动svchost.exe程序,释放的svchost.exe程序也是使用VMP加壳处理的,与2019年12月17日捕获的样本下载的Deniz Kizi勒索病毒一样,脱壳之后,可以看到勒索病毒的核心代码中勒索提示信息,如下所示:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载