有意勒索的现在只针对中国客户。
最近,安全系数的研究人员发现了一种新的故意勒索病毒,全称cuteRansomware。这个手机软件其实是用GoogleDoc来存储受害者的信息。该恶意软件似乎来自另一个勒索软件实验,其开源论坛在几个月前被愚蠢地放到了GitHub上。
基于开源网站勒索病毒实验的CuteRansomware
最新项目的全称是my-Little-Ransomware,其开发者是来自中国的项目工程师马胜浩。根据他的描述,这是一个“简单的勒索软件数字模型”,按照C#编写。
因为链接HiddenTear和EDA2的勒索软件的最新项目已经被来自土耳其的安全因素学者UtkuSen的开源网站放到了Github上,很快就有可能让怀有恶意的人使用my-Little-勒索软件的编号来创建自己的勒索软件版本。
6月中旬,AVG的安全因素研究员雅各布·克鲁斯泰克首次发现了这种恶意软件。他立即关注了这个新的勒索软件,它使用GoogleDocs来存储其数据库加密密钥。
几天后,生产安全因子的Netskope又看到了一个有基因变异的不一样的勒索软件,这也是GitHub基于同一个my-Little-Ransomware的最新项目。他们将这个命名为“cuteRansomware”,因为数字背后的人在他的数字中使用了cuteRansomware字符串数组。
CuteRansomware恶意软件似乎只针对来自中国的客户。
我一看号码,研究人员发现所有的代码注释都是用中文写的,也有中文的勒索内容,说明这个勒索软件目前只针对中国客户。
在仔细检查了这个数字并检查了AVG研究人员发现的版本后,研究人员还发现这个版本也使用谷歌文件作为其C&C网站的服务器。
CuteRansomware会感应电脑,生成RSA数据库加密密钥,然后根据HTTPS的说法将密钥发送到GoogleDocsreport。
研究人员注意到,与GitHub上最初托管的最新项目相比,该版本勒索软件针对的加密文件的整体目标似乎越来越低,这很奇怪,因为它降低了勒索软件系统的损害。
CuteRansomware使用。加密文件后缀(中文)
被攻击的客户可以根据勒索网页的缺失来判断自己是否受到了cuteRansomware的伤害。CuteRansomware的特点是d出窗口中有一个只用中文编写的文本文件。此外,所有加密文件都有“.加密”(中文)文件后缀结尾。
Netskope的UmeshWanve表示,“尽管每个人都在写这篇博客,但包含密钥的报告仍然可以在谷歌文档中查看,每个人都已将此事通知了谷歌的安全因素卓越团队。”
事实上,恶意软件将他们的C&C网站服务器隐藏在云主机中并不是什么新鲜事。早在去年12月,火眼公司FireEye就发现LOWBALL侧门木马使用Dropbox网盘作为C&C网站的服务器。
图1:1:cuteransomware的GoogleDoc网页。
图2:2:Github最新项目与CuteRansomware的代码对比。
图3和图4:4:cuteransomware的源代码分析。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)