北京pk拾冠亚和怎么刷 北京pk10不能下大注 北京pk10冠军单调计算 北京pk10谁控制的 pk10平刷不加倍教程 pk10稳赚技巧方案 pk10个人投注心得分享 pk10九码滚雪球技巧 北京pk拾七码雪球计划 pk10为何前赢后输 全天北京pk10平刷计划 北京pk10单双技巧 9码滚雪球赚六十万 北京pk10两个平台对刷 北京pk10单吊一码倍投 北京 pk10怎么玩 北京pk10平投怎么赢 pk10四码两期版计划 北京一分钟赛车彩票 北京pk10计划怎么倍投 pk10免费计划软件 全天pk10最精准非凡 北京pk10输死多少人 pk10预测软件 北京pk10技巧5码选位置 北京pk10四码两期计划 北京pk10如何做到稳赢 北京寨车PK10开奖结果 pk10一天赚300好搞吗 北京pk10买9码稳中方法
最新病毒库日期:
  • 新型勒索病毒MindLost盯上用户银行卡!内附详细分析报告
2018-02-07 13:52 来源:未知
【文章摘要】近期发现了一款名为MindLost的新型勒索软件,威胁用户银行账户安全。

近期发现了一款名为MindLost的新型勒索软件,和以往的勒索病毒最大不同在于,MindLost不再勒索特币等数字货币赎金,而是要求受害者使用信用卡或借记卡支付赎金,?#28304;?#26469;套取银行卡信息,进而将此信息出售给不法分子牟取更大利益。

  

 

1
病毒介绍:

 

近期发现了一款新型的勒索软件,该勒索软件采用C#语言开发,其主要功能是采用AES?#29992;?#26041;式?#29992;?#26412;地文件,之后引导受害者至?#20184;?#30340;网页要求付费解密文件,与以往勒索软件不同的是,此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作,而是直接要求用户使用信用卡或借记卡支付赎金,?#28304;?#26469;套取银行卡信息,进而将此信息出售给不法分子从而牟取更大利益。由于该病毒目前对自身有所限制,只会对C:\\User目录下的?#20184;?#31867;型文件进行?#29992;埽?#22240;此其破坏性还并不是很大,?#31227;?#20195;码中还存在大量错误未修改,猜测该勒索软件可能还处于开发测试阶段,还并没有进入主动传播状态,因此建议广大用户及时安装杀毒软件防止此类勒索软件的攻击。

 

2
病毒危害

 

感染该勒索软件后会导致本地重要文件?#36824;?#20987;者采用AES算法?#29992;埽用?#25991;件会被添加一个名为.enc的新的后缀,之后桌面图标会被篡改并被要求支付赎金才能解密文件,若用户在攻击者的网站支付赎金进行解密操作则会泄露自身信用卡和借记卡信息,从而导致银行卡?#22351;了?#31561;更加?#29616;?#30340;问题。

文件系统变化:

使用AES算法?#29992;蹸:\\User目录下的文件,并添加后缀名.enc。

系统注册表变化:

将勒索软件路径写入注册表开机启动项,子健名称为WinEnc。

网络症状:

到?#20184;?#22495;名下载png图片替换桌面图案。

 

3
样本详细分析报告:

 

1. 该勒索软件使用.NETFramework 4.7开发环境开发,开发时间为2018年,且此样本属于开发版本1.0.0.0版本,该勒索软件生成名称为Encryptor,因此猜测此病毒仅仅具备用于?#29992;?#25991;件勒索用户的功能。

2. 根据反编译的结果可以清晰的看到程序的流程,绘制程序流程图如下:

3. 反汇编的Main函数?#21202;?#19978;述的程序流程顺序执行,可以看出该勒索软件应该还处于初步开发阶段,并没有实?#21046;?#20182;很复杂的功能。

4. ?#21202;?#31243;序流程,勒索软件首先隐藏自身窗口,然后将自身程序的路径写入注册表开机启动项,以实现勒索软件的开机启动。

5. 之后便使用Sleep函数等待3分钟。

 

 

6. 使用“cmd /c SYSTEMINFO”命令查询当前主机详细信息,并以该信息包含“VMware”字符串作为虚拟机检测的手法,若检查为虚拟机则退出程序,实现动态反调试策略。

7. 检查当前主机是否成功被勒索过,若已经付费解密过文件则不再进行感染,否则将进行?#29992;?#25991;件的勒索操作。

8.  生成AES?#29992;?#23494;钥,填写?#29992;?#36807;程使用的自定义的初始向量IV。

 

 

9.  调用勒索软件实现的encryptAllFiles()函数实现对感染主机的文件?#29992;?#25805;作。在该函数中又调用encryptToEncryptList()函数,最终调用encryptFile()实现对感染主机文件的AES?#29992;?#25805;作。

 

10.?#29992;?#36807;程为:先在将要?#29992;?#30340;同目录下创建新的文件,该文件名称为之前文件名称在后面添加.enc后缀,之后便设置该?#29992;?#25991;件为隐藏属性,然后将?#29992;?#30340;字节流写入到隐藏的?#29992;?#25991;件中,?#29992;?#21333;个文件后,将该文件连同其路径记录到toDelete链表中,等到所有?#29992;?#25805;作完成后再?#22659;?#38142;表中指向的正常文件,最后再统一设置?#29992;?#25991;件(*.enc)为可见状态。

11.在此勒索软件1.0.0.0版本中,?#29992;?#36807;程仅针对后缀名为.txt|.jpg|.png|.pdf|.mp4|.mp3|.c|.py文件进行?#29992;?#25805;作,且设置了禁止?#29992;?#30340;文件目录Windows,Program Files和Program Files(x86)。其中目录设置中还包含错误的文件目录.pdf|.mp4,?#31227;浼用?#30446;录?#27573;?#34987;限制在C:\\Users文件夹下,且?#29992;?#36807;程完成后还伴随有打印消耗时间的操作,进一步可以看出此勒索软件还处于开发测试阶段。

12.在执?#22411;曇用?#25805;作后便将AES密钥信息通过SQL命令保存在数据库中。

13.最后到?#20184;?#31449;点下载勒索标志图片,并将其设置为桌面提示用户付费解密操作,并且将本机UID信息写入桌面新生成的文件ID.txt,使用此信息进行付费解密操作。

14.提示用户进行付费解密操作,引导用户到http://mindlost.azurewebsites.net网?#26041;?#34892;付费解密文件的操作。



4
应?#28304;?#26045;及建议:

 

江民安全专家建议广大用户及时安装杀毒软件防止此类勒索软件的攻击,并从以下几个方面做好防范措施:

1. 建立良好的安全习惯,不打开可疑邮件和可疑网站。

2. 备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。

3.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

4.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。

5. 有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

6. 安装专业的防毒软件升级到最新版本,并开启实时监控功能。

7.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。

8.  不要?#30828;?#21487;靠的渠道下载软件,因为这些软件很可能是带有病毒的。

北京pk拾冠亚和怎么刷
12款挑战者600配置 猎鱼达人h5在哪里下载 沉默的武士试玩 5分赛车开奖记录 活塞vs雷霆直播 国际米兰vsac米兰结果 三亚游艇比基尼派对 黑龙江p62开奖 明日之后有没有合区 维卡币商城能买什么 北京麻将哪里有卖 一零八好汉闯关