全新勒索病毒爆发

全新勒索病毒爆发
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
正在爆发的勒索病毒-KeyPass
阅读量 140784 | 稿费 100

分享到： QQ空间 新浪微博 微信 QQ facebook twitter
发布时间：2018-08-14 17:00:37
译文声明
本文是翻译文章，文章原作者，文章来源：securelist.com
原文地址：https://securelist.com/keypass-ransomware/87412/

译文仅供参考，具体内容表达以及含义原文为准

×

前记
在过去的几天里，我们软件的反勒索模块一直在检测恶意软件的新变种：KeyPass勒索软件。安全社区的其他人也注意到这个勒索软件在8月份开始肆虐传播：

传播方式
根据我们搜集到的信息，分析出该恶意软件通过下载软件勒索模块的虚假安装程序进行传播。

描述
木马样例使用C++编写，并在MS Visual Studio中编译。它是使用MFC库，Boost和Crypto ++开发的。其PE头中包含最近的编译日期。

当在受害者的计算机上启动时，木马会将其可执行文件复制到％LocalAppData％并启动它。然后它将自己在原始位置删除。
之后，它会生成自己进程的多个副本，并将加密密钥和受害者ID作为命令行中的参数进行传递。
KeyPass可从受感染的计算机本地驱动器和网络共享进行枚举，并搜索所有文件，无论其扩展名是什么。它会跳过位于多个目录中的文件，这些目录的路径将被硬编码到样例中。
每个加密文件都会被添加一个额外的扩展名：.KEYPASS，同时名为!!!KEYPASS_DECRYPTION_INFO!!!.txt的赎金票据将会被保存在每一个目录中

加密方案
该木马的开发人员使用了一个非常简单的方案：恶意软件在CFB模式下使用对称算法AES-256，对所有文件使用0 IV和相同的32字节密钥。木马在每个文件的开头加密最多0x500000字节（5 MB）的数据。
启动后不久，KeyPass连接到其命令控制服务器（C＆C），并接收当前受害者的加密密钥和感染ID。数据以JSON的形式通过纯HTTP传输。
如果C＆C无法访问（例如，如果受感染的计算机未连接到互联网或服务器已关闭），则木马使用硬编码密钥和ID，这意味着在离线加密的情况下，受害者文件的解密将变得没有意义。

GUI
从我们的角度来看，KeyPass木马最有趣的功能是能够采用“手动控制”。木马包含一个默认隐藏的表单，在按下键盘上的特殊按钮后可以显示该表单。此功能可能表明木马背后的犯罪分子打算在必要时手动操作它。

此表单允许攻击者通过更改以下参数来自定义加密过程：

加密密钥
赎金票据的名称
赎金票据文本内容
受害者的ID
加密文件的扩展名
要从加密中排除的路径列表

受感染位置

本文翻译自 securelist.com， 原文链接 。如若转载请注明出处。
安全资讯 恶意软件 勒索软件 KeyPass

一叶飘零 认证 分享到： QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

2018安恒杯11月赛-Web&Crypto题解
2018-11-26 10:02:02

U2F安全协议分析
2018-11-24 10:00:48

二十年重回首——CIH病毒源码分析
2018-11-23 15:20:19

Cookie Maker：隐藏在Google Docs中的恶意网络
2018-11-23 14:30:40
|发表评论

发表你的评论吧
昵称
Mickey牛
换一个
|评论列表
加载更多
一叶飘零
个人博客:skysec.top
文章
47
粉丝
66
TA的文章
2018安恒杯11月赛-Web&Crypto题解
2018-11-26 10:02:02
当中国剩余定理邂逅RSA
2018-11-21 15:50:18
session_start()&bestphp
2018-11-19 09:39:33
一题三解之2018HCTF&admin
2018-11-13 10:30:05
用sqlmap解题2018HCTF-Kzone
2018-11-12 14:59:27

输入关键字搜索内容
相关文章
11月26日每日安全热点 - Lazarus对金融机构进行攻击
11月25日每日安全热点 - 北京首起“盗挖币”案告破：前员工挖矿赚钱
11月24日每日安全热点 - 诈骗者通过SIM交换从硅谷高管窃取100万美元
利用PNG像素隐藏PE代码：分析PNG Dropper新样本
Cookie Maker：隐藏在Google Docs中的恶意网络
11月23日每日安全热点 - 利用Safari 恶意网站可攻击macOS系统
使用邮件实现C&C通信：新型木马Cannon分析
热门推荐
文章目录
前记
传播方式
描述
加密方案
GUI
受感染位置
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank