运维教程-浅析:通过电子邮件传递Locky勒索软件

跨零代码为大家提供高品质的解决方案,请大家多多来访,跨零不胜感激,在此谢过。

浅析:通过电子邮件传递Locky勒索软件

Locky是通过垃圾邮件活动传播的一种新型的勒索软件,这个新的恶意软件具有类似于Dridex木马的特征。

Locky能够躲避反垃圾邮件过滤器(除其他事项外),并通过社会工程学手段试图诱骗用户打开电子邮件的Microsoft Office附件。一旦运行,Locky使用RSA-2048和AES-1024加密算法来的加密大量文件,然后要求受害者支付赎金,以恢复自己的文件。

浅析:通过电子邮件传递Locky勒索软件

垃圾邮件传递Locky勒索软件

我们使用oledump提取宏:

.doc文件中包含一些嵌入的宏,下载Locky并感染主机。在本例的URL是:

0×01 恶意软件的详细信息

该恶意软件同时具备反分析和抵抗沙盒系统一些保护措施:

浅析:通过电子邮件传递Locky勒索软件Antidebug函数

为了采集系统环境的指纹,恶意软件作者通过启用一些API函数来规避自动化系统:

浅析:通过电子邮件传递Locky勒索软件Locky调用API函数

0×02 恶意软件行为

Locky在下面的目录下创建一个副本:

感染过程中,Locky创建一些注册表值:

浅析:通过电子邮件传递Locky勒索软件

 

注册表值

(“%UserProfile%/Desktop/_Locky_recover_instructions.bmp”):修改桌面壁纸信息显示赎金:

浅析:通过电子邮件传递Locky勒索软件Locky壁纸

类似于其他勒索软件,Locky在不同Tor域名的主机上还添加了文本信息。由于许多用户不熟悉木马文件,Locky提供了如何使用服务,如tor2web,指导帮助受害者更容易地访问隐匿服务器。

在感染的主机上,我们发现了勒索软件提供的.txt文件:

浅析:通过电子邮件传递Locky勒索软件Locky勒索软件笔记

Locky搜索多种文件类型并进行加密:

Locky删除其他副本文件:

浅析:通过电子邮件传递Locky勒索软件调用VSSADMIN命令删除副本

0×03 Locky基本构造

访问隐藏的Tor网站后,用户会看到以下页面:

浅析:通过电子邮件传递Locky勒索软件

Locky解密页面

如果我们继续追踪,可以深入了解有多少用户通过支付手段恢复其数据:

浅析:通过电子邮件传递Locky勒索软件

Locky采用传统的控制服务器基础设施,并请求/main.php文件:

浅析:通过电子邮件传递Locky勒索软件

 

POST请求

浅析:通过电子邮件传递Locky勒索软件

Locky尝试与它的控制服务器进行通信

Locky还具有用于控制服务器的域生成算法(DGA)的能力。如果我们分析流量,可以看到请求的一些DGA域:

浅析:通过电子邮件传递Locky勒索软件

 

DNS请求到不同的控制服务器

每天,Locky尝试连接到世界各地的不同DGA域

浅析:通过电子邮件传递Locky勒索软件

 

0×04 与Dridex的联系

在我们分析Locky活动时,我们发现,他们和Dridex似乎共享了一些相同的基础设施。你可以在McAfee Labs阅读更多关于Locky威胁信息。

0×05 以检测结果

迈克菲实验室检测到的部分Locky哈希值列表:

 

来自FreeBuf黑客与极客。

从零到一,创造未来!跨零综合IT问题解决服务站,欢迎你的到来。运维教程 只为你绽放。

本文固定链接: http://kua0.com/2019/01/08/运维教程-浅析:通过电子邮件传递locky勒索软件/

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注