携带解密密钥的CryptoWire勒索软件信息公开

2024年 3月 13日 80.6k 0

AhnLab安全情报中心(ASEC)证实,基于开源创建并于2018年流行的CryptoWire勒索软件目前正在传播。

[图1] CryptoWire Github

CryptoWire勒索软件主要通过钓鱼邮件传播,其特点是使用Autoit脚本创建。

主功能

勒索软件将自身复制到“CProgram FilesCommon Files”路径并注册任务调度程序以保持连续性。

[图2]登记工作日程

[图3]注册任务时间表

要扩展文件加密,请搜索本地连接的网络环境,将其保存为桌面上的domaincheck.txt,然后搜索创建的帐户。

【图4】加密扩展相关部分源码

此外,删除回收站和卷影复制以防止恢复。

【图5】解密防范

加密文件的格式为[现有文件名].加密.[现有扩展名],会弹出一个窗口要求您购买解密密钥来解密文件

【图6】加密扩展

【图7】勒索信

该勒索软件的特点是包含解密密钥。有些类型在 Autoit 脚本中包含解密密钥,如 [图 8] 所示,或者将解密密钥与受感染的系统信息一起传输到攻击者的服务器,如 [图 9] 所示。

【图8】解密密钥

【图9】C2服务器连接相关源码

【图10】解密密钥发送至C2服务器

[图11]解密完成画面

能够确认解密密钥的勒索软件并不常见,而且一般来说解密难度很大,所以要小心运行不明来源的文件,以防范勒索软件。另外,如果发现可疑文件,有必要进行杀毒软件扫描并更新最新的杀毒软件。

[文件诊断]

– Trojan/Win.Kryptik.C5576563 (2024.01.20.00)
– Ransomware/Win.bcdedit.C5590639 (2024.02.20.00)

[行为诊断]

– Malware/MDP.Ransom.M1171

[IOC]

MD5

– cd4a0b371cd7dc9dab6b442b0583550c
– a410d4535409a379fbda5bb5c32f6c9c

C2

– hxxp://194.156.98[.]51/bot/log.php

参考链接:  https://asec.ahnlab.com/ko/62868/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论