最新病毒库日期:
  • 新型勒索病毒MindLost盯上用户银行卡!内附详细分析报告
2018-02-07 13:52 来源:未知
【文章摘要】近期发现了一款名为MindLost的新型勒索软件,威胁用户银行账户安全。

山东11选5走势图 www.x61z.com.cn 近期发现了一款名为MindLost的新型勒索软件,和以往的勒索病毒最大不同在于,MindLost不再勒索特币等数字货币赎金,而是要求受害者使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子牟取更大利益。

  

 

1
病毒介绍:

 

近期发现了一款新型的勒索软件,该勒索软件采用C#语言开发,其主要功能是采用AES加密方式加密本地文件,之后引导受害者至指定的网页要求付费解密文件,与以往勒索软件不同的是,此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作,而是直接要求用户使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子从而牟取更大利益。由于该病毒目前对自身有所限制,只会对C:\\User目录下的指定类型文件进行加密,因此其破坏性还并不是很大,且其代码中还存在大量错误未修改,猜测该勒索软件可能还处于开发测试阶段,还并没有进入主动传播状态,因此建议广大用户及时安装杀毒软件防止此类勒索软件的攻击。

 

2
病毒危害

 

感染该勒索软件后会导致本地重要文件被攻击者采用AES算法加密,加密文件会被添加一个名为.enc的新的后缀,之后桌面图标会被篡改并被要求支付赎金才能解密文件,若用户在攻击者的网站支付赎金进行解密操作则会泄露自身信用卡和借记卡信息,从而导致银行卡被盗刷等更加严重的问题。

文件系统变化:

使用AES算法加密C:\\User目录下的文件,并添加后缀名.enc。

系统注册表变化:

将勒索软件路径写入注册表开机启动项,子健名称为WinEnc。

网络症状:

到指定域名下载png图片替换桌面图案。

 

3
样本详细分析报告:

 

1. 该勒索软件使用.NETFramework 4.7开发环境开发,开发时间为2018年,且此样本属于开发版本1.0.0.0版本,该勒索软件生成名称为Encryptor,因此猜测此病毒仅仅具备用于加密文件勒索用户的功能。

2. 根据反编译的结果可以清晰的看到程序的流程,绘制程序流程图如下:

3. 反汇编的Main函数依照上述的程序流程顺序执行,可以看出该勒索软件应该还处于初步开发阶段,并没有实现其他很复杂的功能。

4. 依照程序流程,勒索软件首先隐藏自身窗口,然后将自身程序的路径写入注册表开机启动项,以实现勒索软件的开机启动。

5. 之后便使用Sleep函数等待3分钟。

 

 

6. 使用“cmd /c SYSTEMINFO”命令查询当前主机详细信息,并以该信息包含“VMware”字符串作为虚拟机检测的手法,若检查为虚拟机则退出程序,实现动态反调试策略。

7. 检查当前主机是否成功被勒索过,若已经付费解密过文件则不再进行感染,否则将进行加密文件的勒索操作。

8.  生成AES加密密钥,填写加密过程使用的自定义的初始向量IV。

 

 

9.  调用勒索软件实现的encryptAllFiles()函数实现对感染主机的文件加密操作。在该函数中又调用encryptToEncryptList()函数,最终调用encryptFile()实现对感染主机文件的AES加密操作。

 

10.加密过程为:先在将要加密的同目录下创建新的文件,该文件名称为之前文件名称在后面添加.enc后缀,之后便设置该加密文件为隐藏属性,然后将加密的字节流写入到隐藏的加密文件中,加密单个文件后,将该文件连同其路径记录到toDelete链表中,等到所有加密操作完成后再删除链表中指向的正常文件,最后再统一设置加密文件(*.enc)为可见状态。

11.在此勒索软件1.0.0.0版本中,加密过程仅针对后缀名为.txt|.jpg|.png|.pdf|.mp4|.mp3|.c|.py文件进行加密操作,且设置了禁止加密的文件目录Windows,Program Files和Program Files(x86)。其中目录设置中还包含错误的文件目录.pdf|.mp4,且其加密目录范围被限制在C:\\Users文件夹下,且加密过程完成后还伴随有打印消耗时间的操作,进一步可以看出此勒索软件还处于开发测试阶段。

12.在执行完加密操作后便将AES密钥信息通过SQL命令保存在数据库中。

13.最后到指定站点下载勒索标志图片,并将其设置为桌面提示用户付费解密操作,并且将本机UID信息写入桌面新生成的文件ID.txt,使用此信息进行付费解密操作。

14.提示用户进行付费解密操作,引导用户到//mindlost.azurewebsites.net网址进行付费解密文件的操作。



4
应对措施及建议:

 

江民安全专家建议广大用户及时安装杀毒软件防止此类勒索软件的攻击,并从以下几个方面做好防范措施:

1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。

2. 备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。

3.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

4.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

5. 有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

6. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。

7.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

8.  不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

  • 周冬雨首演小护士与李易峰再现荧幕情侣 2018-10-22
  • 春运面孔:她们让回家的路更温暖 2018-10-17
  • 光合作用的过程能看见?高性能条纹相机或许能实现 2018-10-15
  • 地铁工地围挡要大变样了 下月实施围挡新标准——浙江在线 2018-10-15
  • 全球华人国学传播奖火热提名:搜寻这三种“大力士” 2018-10-15
  • 聚焦中央经济工作会议 2018-10-04
  • 互联网点亮生活 新经济蓬勃发展 2018-09-23
  • 对,这实质上是货币战争。美国的这些行动是要让前些年泛滥发行的美元裹携各国人民的血汗回流美国,经济的、军事的、政治的手段都要用上,中国对此要有足够的准备。 2018-09-23
  • 夺冠热门频“降温”球迷经历“最冷一夜” 2018-09-21
  • 为什么最早的货币出现在中国? 2018-09-20
  • 寻找“美丽浙江十大特色体验地”活动邀您踊跃参与 2018-09-20
  • 化学竟可以这么美 中国学霸拍摄化学反应视频火遍全球 2018-09-20
  • 欧盟采取措施反击美国加征关税 2018-09-20
  • 广州租房市场进入淡季 区域热点板块成交不减 2018-09-16
  • 【中国梦·践行者】亲身经历“失联”的等待 21岁CEO为留学生做“安保” 2018-09-16