安基网 首页 资讯 安全报 查看内容

一次下载,中俩毒!新型勒索病毒CoronaVirus携窃密木马Kpot来袭

2020-3-25 20:48| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 美国科技媒体Bleeping Computer于近日发布警告称,一种名为“CoronaVirus”的新型勒索病毒正在通过山寨版的WiseCleaner网站传播,且受害者同时还会感染另一种名为“Kpot”窃密木马。Wise Cleaner,一家专注于Windows系统清理优化工具开发的公司,旗下产品Wise Care 365集成了一键垃圾清理、碎片整理磁 ...

美国科技媒体Bleeping Computer于近日发布警告称,一种名为“CoronaVirus”的新型勒索病毒正在通过山寨版的WiseCleaner网站传播,且受害者同时还会感染另一种名为“Kpot”窃密木马。

Wise Cleaner,一家专注于Windows系统清理优化工具开发的公司,旗下产品Wise Care 365集成了一键垃圾清理、碎片整理磁盘释放以及系统优化电脑提速等一系列功能,据称全球下载量超过1.5亿次。

显然,攻击者选择Wise Cleaner网站作为克隆对象的原因,是想要借助Wise Cleaner的好名声感染尽可能多的受害者。

图1.虚假WiseCleaner网站

恶意文件分析

下载的文件名为“WSHSetup.exe”,它充当了CoronaVirus和Kpot的下载器。

文件执行后,它将尝试从远程网站下载文件。

当前能够下载的文件只有file1.exe和file2.exe,但是实际上网站托管有多个文件。

图2.远程网站托管的文件

恶意软件分析

安装的第一个文件是file1.exe,也就是Kpot窃密木马。

执行后,它将尝试从浏览器、各种社交APP、VPN、FTP、电子邮箱等客户端以及Steam和Battle.net等游戏帐户中窃取Cookie和登录凭证。

此外,它还将尝试截取活动桌面的屏幕,以及尝试窃取与加密货币钱包相关的信息。

最后,所有这些信息都将被上传到远程网站。

安装的第二个文件是file2.exe,也就是CoronaVirus勒索病毒,它将加密受感染计算机上的文件。

在加密文件时,它将仅针对包含如下扩展名的文件。

图3.目标文件扩展名

加密的文件将被重命名,出现攻击者的电子邮箱地址。

例如,名为“test.jpg”的文件在被加密后,文件名将变更为“coronaVi2022@protonmail.ch___1.jpg”。

图4.加密后的文件示例

最后,在每个被加密文件所在的文件夹以及桌面上,CoronaVirus还将创建一个名为“CoronaVirus.txt”的赎金票据,向受害者勒索0.008比特币(约价值50美元)。

图5. CoronaVirus赎金票据

此外,CoronaVirus还会将C盘重名为“CoronaVirus”,虽然我们并不知道CoronaVirus的开发者为何要这样设计。

图6.被重命名的C盘

在受感染计算机重启之后,我们还可以看到一个锁屏画面,其内容与CoronaVirus赎金票据的内容完全相同。

图7.CoronaVirus锁屏画面

根据SentinelLabs负责人 Vitali Kremez的说法,这是通过修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager "BootExecute" 注册表值来实现的。

图8.修改后的BootExecute注册表项

45分钟之后,锁屏画面将切换到稍显不同的消息。但不变的是,你仍然无法通过输入任何代码来进入系统。

图9.切换后的锁屏画面

如果你再等待15分钟,那么你将能够进入系统,并在登录后看到CoronaVirus.txt赎金票据。

基于较低的赎金金额以及至今没有一毛钱收入的比特币钱包地址,安全研究人员认为CoronaVirus的主要作用是分散受害者的注意,以便给Kpot打掩护,而不是勒索赎金。

结语

通过这篇文章,我们认识了一种此前从未被公开报道过的新型勒索病毒,它有一个非常“时髦”的名字——CoronaVirus(冠状病毒)。

尽管具备勒索软件的所有功能,但CoronaVirus被认为目前并非主要用来勒索赎金,而是给窃密木马Kpot打掩护,以确保受害者不会注意到自己的密码正在被盗取。

如此看来,如果你感染了CoronaVirus,那么我们奉劝你赶紧另找一台电脑修改自己的各种密码,以避免遭受不必要的经济损失。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6805826562882011659/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部