恶意欺诈软件CryptoWall 4.0发布

http://p3.qhimg.com/t01c64b5a018041db13.jpg

恶意勒索软件CryptoWall家族的第四个成员CryptoWall 4.0刚刚发布,给我们带来了一些新功能和一个全新的面貌。

我们在最近的报道中提到,CryptoWall 3.0造成了$ 3.25亿的年度损失。 第一版CryptoWall在2014年4月诞生,它的第一次重大升级是CryptoWall 2.0,在2014年10月发布。CryptoWall 3.0在2015年1月发布并在全球范围内引起恐慌。现在,2015年11月,CryptoWall 4.0也亮相了。

新功能

在CryptoWall家族的第4个成员中有一些新的功能,如加密受感染的文件的名字和拓展名。此外,CryptoWall 4.0还将其勒索信命名改为HELP_YOUR_FILES.TXTand HELP_YOUR_FILES.HTML。

该勒索信本身包括付款说明,还有一些嘲笑用户的话。

 

http://p7.qhimg.com/t014f2d230d7b7952b0.jpg

传播方式

最初报道中的样本是在 Bleeping Computer论坛上被感染的用户提供的,网络钓鱼是通过附有自称简历的ZIP压缩包附件的电子邮件传播的。 ZIP压缩包中的文件是一个JavaScript文件,这使得用户从有效负载为硬编码的URL 上下载了一个进行过模糊处理和美化的CryptoWall 4.0。

https://p5.ssl.qhimg.com/t01f5825cfe3099855f.png

 

但是,漏洞工具很有可能将很快开始使用CW4作为有效载荷(特别是Angler EK)。

技术信息 

CryptoWall 4.0有效载荷的C&C的通讯和活动行为和它的早期版本颇为相似。我们已经分析样本并进行了以下操作,具体见下图。

关联域

https://p3.ssl.qhimg.com/t01d97f49248ab22917.png

https://p5.ssl.qhimg.com/t013ba4e59bc6c3215a.png

添加文件

https://p2.ssl.qhimg.com/t014de4f5b93808e6f2.png

删除文件

https://p1.ssl.qhimg.com/t015256fefe5469c65c.png

修改文件

https://p2.ssl.qhimg.com/t01606fcef4db282ae5.png

添加注册表项

https://p1.ssl.qhimg.com/t018c2acf06b947e879.png

进程树

·         INITIAL SAMPLE
o    exe
§  exe -k netsvcs
§  EXE “C:UsersAdministratorDesktopHELP_YOUR_FILES.TXT”
§  exe “C:UsersAdministratorDesktopHELP_YOUR_FILES.HTML”
§  exe Delete Shadows /All /Quiet
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐