当前位置:安全资讯 >> 全文

KillDisk 新变体攻击拉美金融机构

发布时间:2018-1-16 19:40 标签: KillDisk,拉美,金融
分享到 0

趋势科技公司的研究人员发现磁盘擦除恶意软件 KillDisk 针对位于拉美洲的金融机构发动攻击。

虽然趋势科技目前还在查看这个新变种以及攻击情况,但初步分析发现,这款木马似乎是由另外一款恶意软件传播的,或者属于更大规模攻击的一部分。

KillDisk 的早期版本旨在擦除驱动,从而导致系统无法运作。KillDisk 曾在2015年被俄罗斯黑客组织 BlackEnergy 用于攻击乌克兰能源部门。

乌克兰攻击事件发生一年左右,研究人员指出,开发人员已将 KillDisk 转变为一款文件加密勒索软件。然而,所分析的样本为所有实例使用了相同的加密密钥,从而导致受害者可恢复文件。

专家随后表示发现一款 KillDisk 勒索软件旨在针对 Linux机器发动攻击,但恶意软件并未存储加密密钥从而导致文件无法恢复。

KillDisk NotPetya 恶意软件之间存在相似之处。NotPetya 攻击超过65个国家的设备,导致大型公司因遭攻击而损失数亿美元。

趋势科技将最新发现的变种命名为 TROJ_KILLDISK.IUB,它主要集中在删除文件并擦除磁盘的功能上。这款恶意软件旨在针对 Windows 系统发动攻击,遍历所有驱动以便删除除了系统文件和文件夹之外的文件。

随后它会擦除磁盘,包括读取主引导记录 (MBR) 和覆写扩展引导记录 (EBR)。文件删除和磁盘擦除程序覆写文件和磁盘区域,导致文件恢复更加困难。

恶意软件删除文件和分割区后会尝试终止多个进程以便重启受感染机器。通过针对和客户端/服务器运行时间子系统 (csrss.exe) 的进程,Windows 启动 (wininit.exe)Windows 登录 (winlogon.exe)和本地安全授权子系统服务 (Isass.exe),恶意软件会强迫蓝屏死机 (BSOD)、登出或重启。

趋势科技承诺随着调查的深入会共享更多关于这款新型 KillDisk 的信息。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/new-killdisk-variant-spotted-latin-america
参与讨论,请先 登录 | 注册

用户评论