当前位置:安全资讯 >> 全文

两款新型 .NET 勒索软件也在使用开源代码

发布时间:2017-12-5 8:30 标签: 勒索软件,.NET,开源仓库
分享到 0

Zscaler安全研究人员表示,两款新出现的 .NET勒索软件家族正在使用开源仓库加密用户文件。

这两款勒索软件家族是VortexBUGWARE,它们已出现在通过包含恶意URL的垃圾邮件执行的攻击中。这两个勒索软件家族通过微软中间语言 (MSIL) 编译的,而且已经跟 Confuser 打包程序打包在一起。

Vortex勒索软件

研究人员指出,Vortex勒索软件用波兰语编写,并使用AES-256算法加密受害者设备上的图像、视频、音频、文档和其它潜在的重要数据文件。跟其它勒索软件变体一样,Vortex在完成加密进程后会释放一个勒索留言,通知受害者如何恢复数据并如何发送勒索金。

Vortex允许用户免费解密两个文件,勒索金是100美元,不过四天之后会涨到200美元。受害者被推荐使用Hc9@2.ptHc9@goat.si邮件地址联系攻击者。

安装后,Vortex试图通过创建一个注册表项以及注册键 AESxWin 的方式实现持续性。它还会删除卷影拷贝以阻止用户在不支付勒索金的情况下恢复数据。

安全研究人员分析了VortexC&C通信后认为它发送系统信息并请求获取加密和解密密钥的密码API

Vortex完全基于AESxWin,后者是一款托管在GiHub上的免费软件加密和解密工具,由埃及开发人员Eslam Hamouda创建。研究人员指出,正因如此,只要知道解密密码那么就可以通过AESxWin解密文件。

BUGWARE

BUGWARE基于开源的Hidden Tear代码,此前后者就曾被用于创建多个勒索软件家族。

BUGWARE也使用了一个伪装成为颁发GAS INFORMATICA LTDA的无效证书,要求受害者支付等价于1000巴西雷亚尔的门罗币。BUGWARE创建了路径列表将它加密并存储在名为 Criptografia.pathstoencrypt 的文件中。它还会搜索所有已修复的、网络以及可删除的驱动并将这些路径添加到列表中。

BUGWARE会生成加密密钥并使用AES-256比特算法加密用户文件并重命名加密文件。这个AES密钥也通过一个RSA公钥进行加密,而base64编码密钥也被保存在注册表中。

为了实现持续性,BUGWARE创建了一个运行键,确保用户每次登陆电脑后都会执行它。如果可删除驱动被检测到,那么BUGWARE会释放一个自我副本,名称为 fatura-vencida.pdf.scr

BUGWARE还用从i[.]imgur.com/NpKQ3KZ.jpg" 上下载的图像文件更改了受害者的桌面背景。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/new-net-based-ransomware-uses-open-source-code
参与讨论,请先 登录 | 注册

用户评论