山寨版WannaCry在乌克兰浮出水面

excaliburexcalibu 网络资讯 7年前
3.07W 0
华盟原创文章投稿奖励计划

前几天,新一轮勒索软件再次席卷全球,多国中招,乌克兰算是这起攻击的重灾区。然而,在不到两个月的时间里,乌克兰就遭遇多起勒索攻击,这或许让乌克兰苦不堪言…

当地时间28日,第4四起勒索软件攻击再次肆虐乌克兰,部分攻击模式与先前该国遭受的攻击一致,例如XData、PScrypt和NotPetya。

安全研究人员MalwareHunter昨日发现了新勒索攻击,他之所以注意到新勒索软件,是因为大多数乌克兰的受害者在VirusTotal上提交分析样本。

山寨版WannaCry在乌克兰浮出水面-E安全山寨版WannaCry在乌克兰浮出水面-E安全

过去一个半月,乌克兰已经陆续遭遇了多起勒索软件攻击,首先是5月中旬XData攻击、其次是上周发生的PSCrypt攻击以及本周二遭受的NotPetya攻击。

MalwareHunter表示,新发现的勒索软件攻击发生在周一,也就是NotPetya爆发前一天。以下原因引起了MalwareHunter的注意。

M.E.Doc服务器似乎在散布另一款勒索软件

其中一条突出的线索是这款勒索软件组件的所在位置是:C://ProgramData//MedocIS//MedocIS//ed.exe。

山寨版WannaCry在乌克兰浮出水面-E安全

这个文件路径属M.E.Doc IS-pro(乌克兰一款会计软件)特有。XData和NotPetya均利用M.E.Doc更新服务器传送勒索软件的有效载荷。微软、卡巴斯基、思科和其它网络安全公司认为,M.E.Doc软件更新服务器就是NotPetya爆发的源头。

目前尚不清楚,新勒索软件是否通过同一服务器的木马更新,或是从一开始安装的被感染M.E.Doc应用感染了用户。

自NotPetya爆发以来,全球多国受到影响。M.E.Doc公司一直否认托管过被感染的应用程序。

该公司在Facebook上表示,公司请求思科专家帮助为自己澄清,并调查服务器上发生的情况。M.E.Doc公司在致安全媒体Bleeping Computer的电子邮件中表示,该公司还邀请了网络警局的官员调查此事。

虽然思科与乌克兰当局正在调查劫持M.E.Doc的罪魁祸首,但现在可以肯定的是,可能还有另一款勒索软件在使用同样的服务器感染受害者,只是感染程度不及NotPetya。

山寨版WannaCry

新的勒索软件看似像WannaCry。MalwareHunter表示,这款勒索软件设计得与WannaCry相似,但实际上并不是WannaCry的克隆体。对于初学者而言,这款勒索软件用.NET语言编写,而WannaCry编程语言为C语言。

山寨版WannaCry在乌克兰浮出水面-E安全

这款勒索软件未使用任何NSA漏洞利用工具横向传播,并且内部结构也大相径庭。唯一的相同之处在于图形用户界面,显示了倒计时和要求支付的赎金。
大多数情况下,基于.NET的勒索软件通常说明,作者没有编写程序的经验,但这款勒索软件并非如此。

MalwareHunter表示,这个山寨版的WannaCry可能是他见过的最优秀的.NET勒索软件。显然,脚本小子开发不出这样的软件。

这款新勒索软件通过最初的丢弃器(Dropper)打开并在本地保存两个文件(这个山寨版WannaCry窗口的图形用户界面和加密器组件)以感染系统。
这款勒索软件使用基于Tor的C&C服务器(命令与控制服务器),如果缺乏特殊的命令行参数,该软件不会启动。加密实时应用程序中使用的文件之前,这款软件会结束进程。MalwareHunter指出,这个功能是他分析过的所有勒索软件家族特有的功能。

有人专门针对乌克兰发起勒索软件攻击

新勒索软件的独特之处在于,它也符合上述三个勒索软件的模式。这款新勒索软件试图伪装成另一个WannaCry。

上述提及的三个勒索软件也具有这种特点:

  • XData建立在被窃AES-NI代码库的基础上;
  • PSCrypt基于GlobeImposter创建;
  • NotPetya则伪装成Petya。

勒索软件操作人员试图伪装成知名的威胁,这不是什么新鲜事,但AES-NI和GlobeImposter的规模非常小。任何人可能都不会模仿这两个软件,除非想低调、秘密行事。

由此可见,有人专门在向乌克兰发起勒索软件攻击,并试图伪装成平凡的网络犯罪活动,隐藏其它动机。

将所有这些线索关联起来不难发现,针对乌克兰的勒索软件活动试图伪装成其它勒索软件威胁,其中三个似乎还使用同样的服务器进行传播。

目前没有确凿的证据证明,这几起勒索攻击活动出自同一人或同一组织之手,但确实存在太多巧合。

SHA256 哈希:

  • 丢弃器(Dropper): 51e84accb6d311172acb45b3e7f857a18902265ce1600cfb504c5623c4b612ff
  • GUI: 7b6a2cbb8909616fe035740395d07ea7d5c2c0b9ff2111ae813f11141ad77ead
  • 加密器: db8e7098c2bacad6ce696f3791d8a5b75d7b3cdb0a88da6e82acb28ee699175e

勒索信:

山寨版WannaCry在乌克兰浮出水面-E安全

 

本文摘自:E安全

WannaCry(13),乌克兰(4),山寨版WannaCry(1)
本文原创,作者:excalibur,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/152303.html
excalibur官方
excalibu

184篇文章 7.02M总阅读量

相关文章

发表评论