全新勒索病毒爆发

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
正在爆发的勒索病毒-KeyPass
阅读量 154278 | 稿费 100

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-08-14 17:00:37
译文声明
本文是翻译文章,文章原作者,文章来源:securelist.com
原文地址:https://securelist.com/keypass-ransomware/87412/

译文仅供参考,具体内容表达以及含义原文为准

×

前记
在过去的几天里,我们软件的反勒索模块一直在检测恶意软件的新变种:KeyPass勒索软件。安全社区的其他人也注意到这个勒索软件在8月份开始肆虐传播:

传播方式
根据我们搜集到的信息,分析出该恶意软件通过下载软件勒索模块的虚假安装程序进行传播。

描述
木马样例使用C++编写,并在MS Visual Studio中编译。它是使用MFC库,Boost和Crypto ++开发的。其PE头中包含最近的编译日期。

当在受害者的计算机上启动时,木马会将其可执行文件复制到%LocalAppData%并启动它。然后它将自己在原始位置删除。
之后,它会生成自己进程的多个副本,并将加密密钥和受害者ID作为命令行中的参数进行传递。
KeyPass可从受感染的计算机本地驱动器和网络共享进行枚举,并搜索所有文件,无论其扩展名是什么。它会跳过位于多个目录中的文件,这些目录的路径将被硬编码到样例中。
每个加密文件都会被添加一个额外的扩展名:.KEYPASS,同时名为!!!KEYPASS_DECRYPTION_INFO!!!.txt的赎金票据将会被保存在每一个目录中

加密方案
该木马的开发人员使用了一个非常简单的方案:恶意软件在CFB模式下使用对称算法AES-256,对所有文件使用0 IV和相同的32字节密钥。木马在每个文件的开头加密最多0x500000字节(5 MB)的数据。
启动后不久,KeyPass连接到其命令控制服务器(C&C),并接收当前受害者的加密密钥和感染ID。数据以JSON的形式通过纯HTTP传输。
如果C&C无法访问(例如,如果受感染的计算机未连接到互联网或服务器已关闭),则木马使用硬编码密钥和ID,这意味着在离线加密的情况下,受害者文件的解密将变得没有意义。

GUI
从我们的角度来看,KeyPass木马最有趣的功能是能够采用“手动控制”。木马包含一个默认隐藏的表单,在按下键盘上的特殊按钮后可以显示该表单。此功能可能表明木马背后的犯罪分子打算在必要时手动操作它。

此表单允许攻击者通过更改以下参数来自定义加密过程:

加密密钥
赎金票据的名称
赎金票据文本内容
受害者的ID
加密文件的扩展名
要从加密中排除的路径列表

受感染位置

本文翻译自 securelist.com, 原文链接 。如若转载请注明出处。
安全资讯 恶意软件 勒索软件 KeyPass

一叶飘零 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

PHP反序列化入门之寻找POP链(一)
2019-02-26 11:00:59

【缺陷周话】第23期:双重检查锁定
2019-02-26 10:00:40

2019安恒2月月赛Writeip-Web&Crypto&Misc
2019-02-25 16:00:20

安恒杯2019年2月月赛pwn部分详细分析
2019-02-25 15:30:46
|发表评论
发表你的评论吧
昵称
神奇小子
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
一叶飘零
个人博客:skysec.top
文章
50
粉丝
107
TA的文章
2019安恒2月月赛Writeip-Web&Crypto&Misc
2019-02-25 16:00:20
2019安恒1月月赛Writeip-Web&Crypto&Misc
2019-01-27 11:00:54
JavaScript侧信道时间测量
2019-01-27 10:30:24
2018安恒杯11月赛-Web&Crypto题解
2018-11-26 10:02:02
当中国剩余定理邂逅RSA
2018-11-21 15:50:18
输入关键字搜索内容
相关文章
2月26日每日安全热点 – 首个完整利用WinRAR漏洞传播的恶意样本分析
2月25日每日安全热点 – 地下情报如何拯救金融服务行业
2月24日每日安全热点 – 小米手机内核开源
事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2月23日每日安全热点 – 18年成人网站出售账户信息广告增长一倍
预警 | 部分云上用户中招 watchdogs 感染性挖矿病毒
从RSA 2019创新沙盒“十强”看网络安全技术动向
热门推荐
文章目录
前记
传播方式
描述
加密方案
GUI
受感染位置
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…

Leave a Reply