安基网 首页 资讯 安全报 查看内容

新型勒索病毒LooCipher来袭,正通过垃圾电子邮件传播

2019-7-10 04:35| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,网络安全研究机构Yoroi-Cybaze ZLab的研究人员发现了一种新型勒索病毒——LooCipher。尽管功能非常简单,与其他已知的勒索病毒之间也没有太大的差别,但研究人员表示,LooCipher在其内部结构上存在一些独特之处,使得它可以被用来发起大规模攻击。技术分析到目前为止,研究人员已确认被用来下载 ...

近日,网络安全研究机构Yoroi-Cybaze ZLab的研究人员发现了一种新型勒索病毒——LooCipher。

尽管功能非常简单,与其他已知的勒索病毒之间也没有太大的差别,但研究人员表示,LooCipher在其内部结构上存在一些独特之处,使得它可以被用来发起大规模攻击。

技术分析

到目前为止,研究人员已确认被用来下载及安装LooCipher的恶意文档有两个,它们分别被命名为“Info_BSV_2019.docm”和“Info_Project_BSV_2019.docm”。

如下图所示,恶意文档仅包含一行文本内容,直截了当地邀请用户启用宏执行。

图1.恶意文档示例

通过对宏代码的分析,研究人员发现了LooCipher的有效载荷(payload),它的目的只有一个——从“hxxp://hcwyo5rfapkytajg.onion[.]pet/2hq68vxr3f.exe”下载LooCipher并运行它。

图2.宏代码

一旦运行,LooCipher就会开始加密受感染计算机上的所有文件。当然,这并不包括系统和程序文件夹:“Windows”、“Program Files”和“Program Files(x86)”。

显然,这样设计的目的是为了避免破坏启动操作系统所需的文件,以便受害者能够正常登录计算机,进而能够看到付款说明文件。

图3.被LooCipher排除在外的文件夹

研究表明,LooCipher会加密具有如下扩展名的所有文件:

图4. LooCipher的目标文件

在加密过程中,LooCipher首先会将原始文件复制一次,然后再进行加密并附加“.lcphr”扩展名。另外,它并不会删除原始文件,而是会清空它们的内容,使其大小变为0字节。

图5.被加密文件示例

图6.加密过程

当加密完成后,LooCipher会在受感染计算机的桌面上创建一个FAQ文件夹,其中包含用于展示付款说明的文件。

图6.包含付款说明的文件

如付款说明文件中所述,受害者只有五天的时间来进行付款。超过期限,密钥将会被自动销毁,而受害者的文件将无法恢复。

此外,类似的信息也会以桌面背景和弹窗的形式出现在受感染计算机的桌面上。

图7.用于展示付款说明的桌面背景和弹窗

在加密完成之后,LooCipher的另一项工作就是与C2服务器建立联系,以上传有关受感染计算机的信息,并检索BTC地址,用于显示在弹窗中。

图8.检索BTC地址的HTTP请求示例

值得注意的是,LooCipher的C2服务器托管在TOR网络上,地址为“hxxp://hcwyo5rfapkytajg[.]onion”。如此一来,LooCipher就可以滥用一些服务来作为暗网和明网之间的代理,从而无需在受感染计算机上安装TOR库就能轻松地执行其恶意操作。

研究显示,遭LooCipher滥用的服务具体如下:

  • https://onion.pet
  • https://darknet.to/
  • https://onion.sh/
  • http://tor2web.xyz/

在LooCipher发送给C2服务器的请求中,包含了大量有关受感染计算机的信息。比如,“u=rEui7jhIJk6SaRTyhL08N7h1Sft”上传的就是为受感染计算机分配的User-ID,“i=xxx.xxx.xxx.xxx”上传的就是受感染计算机的公共IP地址。

C2服务器在接收到请求后,就会以一个BTC地址(用于受害者支付赎金)作为响应,例如“BTC_ADDR: 16HDCwCuy2R5b7YFCmsidXzHQrvHmT7VHGG”。

研究人员表示,LooCipher每次与C2服务器进行联系,C2服务器都会生成一个新的BTC地址。显然,这种技巧能够避免大量的交易指向同一个BTC钱包,进而使得BTC交易更加隐蔽。

当然,如果受感染计算机处于脱机状态,LooCipher则无法接收到BTC地址。为此,LooCipher还嵌入有一个备用地址列表,以便在无法C2服务器建立联系时使用。

图9.嵌入在LooCipher二进制文件中的BTC地址

结论

不得不说,勒索病毒是当下网络犯罪活动赚取非法收益最快的方式之一,大大小小的企事业单位、社会团体或个人都可能成为攻击目标。

LooCipher正是该领域的一个新成员,主要通过嵌入受感染的Office文档,借助恶意电子邮件传播,能够加密受感染计算机上的所有文件并滥用Clearnet-to-Tor代理服务来与隐藏在Tor站点后面的C2服务器建立联系。

梦之想科技(www.xway.cn)再次提醒大家,应始终坚持定期备份所有关键业务数据,以避免因遭到勒索病毒感染而蒙受不可挽回的损失。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

想了解相关安全技术,请搜索“墨者学院”,或直接访问“www.mozhe.cn”。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6711483249236902412/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部