安基网 首页 资讯 安全报 查看内容

新型FTCode无文件勒索病毒正通过垃圾邮件大肆传播

2019-10-8 11:41| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日国外某独立恶意软件安全研究人员曝光了一个新型的FTCode PowerShell勒索病毒,如下所示:此勒索病毒主要通过垃圾邮件进行传播,发送的垃圾邮件会附加一个压缩包,压缩包里面包含一个恶意的DOC文档,从app.any.run上下载到相应DOC样本,打开DOC文件,如下所示:启动恶 ...

(本文转载自安全分析与研究)

近日国外某独立恶意软件安全研究人员曝光了一个新型的FTCode PowerShell勒索病毒,如下所示:

此勒索病毒主要通过垃圾邮件进行传播,发送的垃圾邮件会附加一个压缩包,压缩包里面包含一个恶意的DOC文档,从app.any.run上下载到相应DOC样本,打开DOC文件,如下所示:

启动恶意宏代码,相应的文档内容,如下所示:

恶意宏代码,启动PowerShell进程执行脚本,如下所示:

从恶意服务器下载PowerShell脚本执行,服务器URL地址:

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打开恶意服务器脚本,如下所示:

从恶意服务器下载VBS脚本,然后设置计划任务自启动项,如下所示:


相应的计划任务自启动项WindowsApplicationService,如下所示:

恶意服务器URL

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&,脚本内容,如下所示:

解密后的VBS脚本,是一个PowerShell脚本,如下所示:

再次解密PowerShell脚本之后为一个恶意软件下载器,会下载安装其他恶意软件。

下载完VBS脚本,设置计划任务之后,FTCode PowerShell恶意脚本会解密内置字符串生成一个RSA加密密钥,如下所示:

删除磁盘卷影,操作系统备份等,如下所示:

然后开始加密文件,对指定的文件后缀进行加密,加密后的文件后缀名FTCODE,如下所示:

加密后的文件,如下所示:

在每个加密的文件目录生成勒索提示信息HTM文件READ_ME_NOW.htm,内容如下所示:


需要支付500美元进行解密,勒索病毒解密网站

http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=[guid]

IOC

HASH

A5AF9F4B875BE92A79085BB03C46FE5C

C&C

185.158.248.151

185.120.144.147

home.southerntransitions.net

connect.southerntransitions.com

URL

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&

hxxp://connect.southerntransitions.com/

hxxp://home.hopedaybook.com/?need=9f5b9ee&vid=dpec1&9337

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec1&

hxxp://home.isdes.com/?need=6ff4040&vid=dpec2&

最近一两年针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,真的是越来越多了,各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标......



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6745251160501781003/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部