AhnLab安全情报中心(ASEC)证实,基于开源创建并于2018年流行的CryptoWire勒索软件目前正在传播。
[图1] CryptoWire Github
CryptoWire勒索软件主要通过钓鱼邮件传播,其特点是使用Autoit脚本创建。
主功能
勒索软件将自身复制到“CProgram FilesCommon Files”路径并注册任务调度程序以保持连续性。
[图2]登记工作日程
[图3]注册任务时间表
要扩展文件加密,请搜索本地连接的网络环境,将其保存为桌面上的domaincheck.txt,然后搜索创建的帐户。
【图4】加密扩展相关部分源码
此外,删除回收站和卷影复制以防止恢复。
【图5】解密防范
加密文件的格式为[现有文件名].加密.[现有扩展名],会弹出一个窗口要求您购买解密密钥来解密文件
【图6】加密扩展
【图7】勒索信
该勒索软件的特点是包含解密密钥。有些类型在 Autoit 脚本中包含解密密钥,如 [图 8] 所示,或者将解密密钥与受感染的系统信息一起传输到攻击者的服务器,如 [图 9] 所示。
【图8】解密密钥
【图9】C2服务器连接相关源码
【图10】解密密钥发送至C2服务器
[图11]解密完成画面
能够确认解密密钥的勒索软件并不常见,而且一般来说解密难度很大,所以要小心运行不明来源的文件,以防范勒索软件。另外,如果发现可疑文件,有必要进行杀毒软件扫描并更新最新的杀毒软件。
[文件诊断]
– Trojan/Win.Kryptik.C5576563 (2024.01.20.00)
– Ransomware/Win.bcdedit.C5590639 (2024.02.20.00)
[行为诊断]
– Malware/MDP.Ransom.M1171
[IOC]
MD5
– cd4a0b371cd7dc9dab6b442b0583550c
– a410d4535409a379fbda5bb5c32f6c9c
C2
– hxxp://194.156.98[.]51/bot/log.php
参考链接: https://asec.ahnlab.com/ko/62868/
图片来源网络目标可联系删除