在包括巴西和越南在內(nèi)的一系列國家/地區(qū)都發(fā)現(xiàn)了KeyPass惡意軟件變種樣本。與其他惡意軟件不同的是，該木馬包含一個默認(rèn)隱藏的表單 - 可手動控制，由于手動加密的能力，犯罪分子可以很容易地改變解密的價格。

      研究人員周一表示，KeyPass勒索軟件的一個新變種在8月份傳播已經(jīng)越來越廣泛，并且正在使用手動控制等新技術(shù)來定制其加密過程。它正在通過下載勒索軟件模塊的虛假安裝程序進行傳播。

      卡巴斯基實驗室的惡意軟件分析師說：

“根據(jù)我們的統(tǒng)計數(shù)據(jù)，犯罪分子幾天前才開始傳播勒索軟件�？蓤�(zhí)行PE頭中包含的信息證實了最近創(chuàng)建該木馬的假設(shè)。”

      研究人員表示，發(fā)現(xiàn)的木馬樣本是用C ++編寫的，并在MS Visual studio中編譯。雖然他們不會進一步了解可能的目標(biāo)，但研究表明，惡意軟件的樣本主要來自巴西和越南。

      在通過虛假安裝程序分發(fā)后，一旦進入受害者的計算機，該木馬會將其可執(zhí)行文件復(fù)制到本地應(yīng)用程序數(shù)據(jù)文件夾（％LocalAppData％）并啟動它。然后它從原始位置刪除自己。

      在此之后，該木馬生成其自己進程的若干副本，以將加密密鑰和受害者ID作為命令行參數(shù)傳遞。

“KeyPass枚舉了可從受感染機器訪問的本地驅(qū)動器和網(wǎng)絡(luò)共享，并搜索所有文件，無論其擴展名如何，它會跳過位于許多目錄中的文件，因為這些目錄的路徑被硬編碼到樣本中。”

      這些加密文件中的每一個都有一個額外的擴展名：“。KEYPASS”，以及名為“”!!! KEYPASS_DECRYPTION_INFO !!!。txt“”的贖金票據(jù)，它們保存在每個處理過的目錄中。

“很多勒索軟件都會在受感染機器上留下的贖金中寫出贖金金額，KeyPass木馬也不例外。該筆記的文本存儲在惡意軟件中，并在那里指定了300美元。“

      如果C＆C無法訪問 - 或者如果受感染的計算機未連接到互聯(lián)網(wǎng)或服務(wù)器已關(guān)閉 - 該木馬可以使用硬編碼密鑰和ID。研究人員表示，這意味著在離線加密的情況下，解密受害者的文件并不困難。

可手動控制惡意軟件

      該木馬包含一個默認(rèn)隱藏的表單 - 可手動控制，這意味著在按下鍵盤上的按鍵后可以顯示其樣式。這種能力可能表明該木馬背后的罪犯打算在手動攻擊中使用它。雖然這個功能對受害者來說意義不大，但這只是研究人員發(fā)現(xiàn)的一個特征，因為它在其他勒索軟件家族中并不常見。

      此表單允許攻擊者通過更改諸如加密密鑰，勒索信息名稱，勒索信息文本，受害者ID，加密文件的擴展名以及要從加密中排除的路徑列表等參數(shù)來自定義加密過程。由于手動加密的能力，犯罪分子可以很容易地改變解密的價格。

“惡意軟件默認(rèn)自動運行，但是，如果犯罪分子能以某種方式獲得對受感染系統(tǒng)的遠程控制，那么該特洛伊木馬允許犯罪分子修改默認(rèn)加密參數(shù)。”

      用戶可以通過始終備份，僅從受信任的來源安裝軟件，僅使用強密碼進行RDP訪問并使用可靠的安全解決方案來保護自己免受KeyPass勒索軟件的侵害。

原文鏈接：

https://threatpost.com/new-variant-of-keypass-ransomware-discovered/135018/

轉(zhuǎn)自：安全加

標(biāo)簽： 安全 服務(wù)器 互聯(lián)網(wǎng) 搜索 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。