usdt官网(www.payusdt.vip):对泛起的两个新的勒索软件变体——AlumniLocker和Humble的剖析

admin 4个月前 (03-27) 科技 82 0

USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

趋势科技的研究职员最近发现了两个新的勒索软件变体——AlumniLocker和Humble,它们显示出差其余庞大行为和加密后的勒索手艺。

其中一种勒索手段包罗支付异常高昂的赎金,并威胁要宣布受害者的要害数据。这些新的恶意功效迭代证实,2021年以勒索为目的的勒索软件仍然存在,而且还很盛行占有网络攻击的主流。

AlumniLocker勒索软件剖析

研究职员最近发现了AlumniLocker勒索软件,,它是Thanos勒索软件家族的一个变体,它会要求受害者支付10个比特币的赎金,住手发稿时10个比特币的价钱相当于457382.60美元。这些勒索软件的使用者还威胁说,若是他们不在48小时内付款,就会在他们的网站上宣布受害者的数据。

AlumniLocker通过恶意的PDF邮件附件被流传开来,如下所示凭证研究职员的观察,那份PDF文件是一张伪造的发票,敦促受害者下载。

恶意PDF文件的截图

该恶意PDF文件包罗一个链接(hxxps://femto[.]pw/cyp5),一旦点击,将下载一个包罗下载器的ZIP文件。

下载器内容

ZIP文件还包罗一个伪造的JPG文件,该文件现实上是一个PowerShell剧本,它将通过滥用后台智能服务传输(BITS)模块下载和执行AlumniLocker有用载荷。

包罗滥用BITS模块的PowerShell剧本的伪造JPG文件

AlumniLocker勒索软件文件是一个MSIL (Themida-packed Microsoft Intermediate Language)可执行文件。它将.alumni附加到加密文件中:

受害者的加密文件的截图

一旦AlumniLocker对受害者的文件举行加密,便会通过记事本显示一个文本文件,其中详细说明晰攻击者所要求的赎金以及若何支付赎金的说明。若是赎金金额未在划定的限期内支付,勒索软件的使用者就会威胁要在他们的网站上宣布受害者的小我私人文件,而住手发稿时,该网站是无法接见的。

AlumniLocker勒索信

Humble勒索软件变体剖析

研究职员在2021年2月发现了Humble勒索软件,这个不太典型的勒索软件家族是用可执行的包装程序(Bat2Exe)编译的。研究职员现在发现了两种Humble勒索软件变体,两种变体都具有勒索手艺,可促使受害者迅速支付赎金。一个变体威胁受害者,一旦他们重启系统,主启动纪录(MBR)将被重写;另一种变体也发出同样的威胁,若是受害者在五天内不支付赎金,MBR将被重写。

主要可执行文件是批处置文件自己,这可能不常见,但不是新文件。该勒索软件之以是与众差异,是由于它行使了通讯平台Discord提供的公共Webhook服务向其讲述或向受害者流传熏染讲述。

Humble勒索软件拒绝explorer.exe查看或接见内陆存储驱动器。

受熏染盘算机的屏幕截图,显示除了可移动驱动器外,无法通过explorer.exe接见其他任何驱动器

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

Humble勒索软件阻止explorer.exe接见内陆存储驱动器

研究职员剖析的第一个Humble勒索软件变体删除了%temp%\{temp directory}\extd.exe组件,该组件通常用于加密和Web API二进制文件,以辅助举行文件加密。

该恶意软件行使certutil.exe(一种治理Windows证书的程序)从随机输入天生密钥,然后extd.exe组件将使用它来加密文件。

Humble勒索软件使用CertUtil从随机输入中天生密钥

Humble勒索软件会加密104种文件类型,包罗具有以下扩展名的文件:.exe,.pdf,.mp3,.jpeg,.cc,.java和.sys。

乐成加密目的装备后,恶意软件会通过自界说的AutoIt编译的Discord Webhook二进制文件将讲述发送到勒索软件操作员的Discord Webhook面板。

使用Discord webhook面板天生的讲述,用于通知Humble勒索软件操作员新的乐成熏染和加密

该恶意软件将天生一个随机字符串,然后将其用于附加受熏染的文件。该恶意软件还会显示一个赎金纪录,该赎金纪录被设置为用户的锁定屏幕图像,忠告受害者不要重新启动系统。

Humble勒索软件的勒索信显示为锁屏图像

研究职员剖析的第二个Humble勒索软件变体使用PowerShell,certutil.exe和extd.exe下载组件文件(由趋势科技检测为Boot.Win32.KILLMBR.AD),而不是在批处置中举行编码并自动从批处置中删除文件。

最新的Humble勒索软件变体的组件

此变体会通知受熏染的装备的受害者,若是他们在五天内未支付0.0002比特币(住手撰写市价值9.79美元)的赎金,则所有文件都将被删除。

Humble勒索软件第二种变体的勒索信

缓解措施

随着勒索软件家族和变体的生长,攻击者会变得加倍郑重,使用庞大的手艺和行为,目的是乐成地从勒索软件中抽取数百万美元。凭证保险公司Coalition的说法,从2019年到2020年第一季度,网络勒索金额翻了一番。

用户和组织应该遵照主要的平安建议,以珍爱他们的装备和系统免受勒索软件的危险,包罗执行最低特权原则,禁用内陆治理帐户,限制对共享或网络驱动器的接见。

以下是对用户和组织防止勒索软件攻击的其他主要建议:

1.未履历证的电子邮件和其中嵌入的链接应郑重打开,由于勒索软件会以这种方式流传。

2.主要文件的备份应该使用3-2-1规则:在两个差其余介质上确立三个备份副本,一个备份放在单独的位置。

3.定期更新软件、程序和应用程序,以珍爱它们免受最新破绽的危险。

4.珍爱小我私人信息的平安,由于纵然这样攻击者也可能会发现破解系统平安的信息线索。

本文翻译自:https://www.trendmicro.com/en_us/research/21/c/new-in-ransomware-alumnilocker-humble-feature-different-extortio.html:
Allbet声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt官网(www.payusdt.vip):对泛起的两个新的勒索软件变体——AlumniLocker和Humble的剖析

网友评论

  • (*)

最新评论

站点信息

  • 文章总数:2655
  • 页面总数:0
  • 分类总数:8
  • 标签总数:3647
  • 评论总数:1320
  • 浏览总数:368217