一,简述 13月1日暴发的“微信付款”勒索软件已经快速扩散,受感柒的电子计算机总数已经提升。病毒感染犯罪团伙应用豆瓣电影等服务平台做为C& C网络服务器传出命令。除开锁住受害人文档以获得保释金(付款方式早已关掉)以外,它还会批判登陆密码,比如支付宝钱包。最先,该病毒感染恰当地运用“供应链管理环境污染”方式开展散播,早已感柒了数十万台电子计算机,感柒范畴仍在扩张;其次,该病毒感染还盗取客户的各种各样账户密码,包含淘宝网,天猫商城,阿里旺旺,支付宝钱包,162电子邮箱,百度云盘,京东商城,QQ账户。 除开被锁住的病毒防护和破译文档外,Velvet精英团队强烈要求受感柒客户尽早改动所述服务平台登陆密码。
图:每天均值感柒图,数最多12,136个企业(从病毒感染网络服务器获得的统计数据) 依据荷兰绒安全性精英团队的剖析,病毒感染创作者最先进攻了手机软件开发者的电子计算机,并在“简单語言”程序流程中感柒了1个控制模块开展程序编写,这造成开发者在全部应用“简单語言”程序编写的手机软件中应用勒索软件。免费下载这种“有害”手机软件后,客户将感柒勒索软件。全部散播全过程非常简单,但在环境污染“易语言”以后感柒手机软件的方法非常少见。截止13月3日,现有超出30,0500名客户感柒了该病毒感染,受感柒的电子计算机总数仍在提高。
:供应链管理环境污染全过程 除此之外,荷兰绒安全性精英团队发觉病毒感染制作者应用豆瓣电影等服务平台做为C& C网络服务器传出命令。在破译传出指令后,防火安全白天鹅队安全性工作组得到了1个病毒感染后台管理网络服务器,发觉该病毒感染创作者密秘收费标准数十万。账号信息内容,如淘宝网,天猫商城等 二,试品剖析 近期,应用微信二维码扫描仪开展保释金付款的勒索软件Bcrypt在13月1日上下长盛不衰,受感柒用户数在短期内内快速提升。根据对荷兰绒来源于的剖析,发觉病毒感染能够在短期内内长盛不衰,由于病毒感染是根据供应链管理环境污染散播的。病毒感染运作后,它将感柒便于应用的关键静态数据库和便于应用的控制模块。病毒性感染后编译的全部简单語言程序流程都含有病毒代码。供应链管理环境污染流程表,如图所示:
供应链管理环境污染流程表 编译自然环境被感柒后插进的恶意代码 简易语言模块中插进易语言恶意代码,给出图示:
easy控制模块中的恶意代码 在受感柒的编译自然环境中编译的简单語言程序流程将加上到病毒下载编码中。最先,根据HTTP恳求获得数据加密免费下载配备,随后依据破译后的URL将病毒感染文件下载到当地实行。如上边的鲜红色框图示,免费下载并实行的是1组“乳白色加灰黑色”恶意程序,在其中svchost是上1个汇报中提及的乳白色文档,svchost将载入并实行储存在libcef.dll中的恶意代码运作。免费下载实行病毒感染有关编码,给出图示: 免费下载病毒感染文档有关编码 病毒代码中的恳求URL包括watercress连接和github连接。二者的內容是相同的。以豆瓣电影连接为例。给出图示:
恳求的网页页面 在破译所述统计数据以后,能够得到1组免费下载配备。给出图示:
破译免费下载配备 破译有关编码,给出图示:
破译编码 根据配备中的下载链接,人们能够免费下载数据文件,将数据文件分成两一部分:1个JPG文件格式的图像文件和1个病毒感染的Payload统计数据。数据文件给出图示:
数据文件 Libcef.dll 实行libcef.dll中的恶意代码后,它将最先恳求Douban URL连接(https://www.douban.com/note/79*50/)。与病毒感染在受感柒的易语言编译自然环境中插进的病毒代码逻辑性同样,恶意代码能够根据豆瓣电影连接储存的统计数据,这能够破译1组免费下载配备。破译的免费下载配备给出图示:
免费下载配备 免费下载编码给出图示:
免费下载编码 包含阻拦后的合理恶意代码统计数据,包含易语言关键静态数据库和便于应用的控制模块,用以感柒简单語言编译自然环境。除此之外,免费下载的Payload文档还包括Zip归档,该归档与病毒代码中包括的基本免费下载逻辑性适配。此地的Zip归档将会会被一切病毒程序替换成。因为病毒感染创作者应用供应链管理中的环境污染散播,有关病毒性感染的总数呈指数值提高。有关编码,如图所示:
寻找Payload压缩文件部位以写回文档 根据刷选储存在Douban连接中的数据加密免费下载配备统计数据,人们发觉根据供应链管理传送的勒索软件Bcrypt储存在另外Douban连接中(https://www.douban.com/note/79*27/)。免费下载配备给出:
免费下载配备 在病毒感染控制模块的JPG拓展以后,人们应用'_'来区别勒索软件公布时的实际上文件夹名称。最后免费下载的勒索软件压缩文件的文件目录,如图所示:
勒索软件压缩文件文件目录 三,病毒感染有关数据统计分析 Velvet根据数据加密病毒感染创作者储存在URL中的统计数据来破译病毒感染创作者应用的2个MySQL网络服务器的登录密码。人们取得成功登陆了在其中每台网络服务器。根据浏览数据库查询,人们发觉免费下载的病毒感染程序模块是根据供应链管理派发的:最少是勒索软件,黑客入侵校园广告的特洛伊木马策略,情色手机软件这些。
人们还发觉网络黑客木马病毒在网络服务器发送的重要纪录信息内容���括:淘宝网,天猫商城,阿里旺旺,支付宝钱包,162电子邮箱,百度云盘,京东商城,QQ账户等总共2万多个。 人们还发觉了Bcrypt病毒感染在网络服务器发送的勒索软件感