-
-
Chm格式帮助文件作盾,CryptoWall勒索软件卷土重来
-
发表于:
2015-3-11 15:57
1031
-
Chm格式帮助文件作盾,CryptoWall勒索软件卷土重来
Chm格式帮助文件作盾,CryptoWall勒索软件卷土重来
网络诈骗软件近年来层出不穷,而且每当研究人员找到检测方法和防护技术时,它都能快速的找到躲避检测的方法或者进行变种。近日,Bitdefender的安全专家又披露了一种勒索软件CryptoWall变种,攻击者利用了看似安全的.Chm格式帮助文件发起攻击。
勒索软件CryptoWall
CryptoWall在网络敲诈生态系统中是最为流行的一种勒索软件,也是CryptoLocker的升级版本,一种通过将文件加密来勒索用户的恶意软件。通常,它会伪装成无害的应用程序或者文件。CryptoWall的攻击Payload会加密受害者电脑中的文件,锁住受害者的屏幕,让受害者不得不“支付赎金”来解密。
在2014年2月至8月这6个月中受CryptoWall感染的用户达600000个,收到的赎金约在100万美元左右,攻击者每次索要的金额从100美元到500美元不等。
在最新变种中,攻击者采取了一种低调而有效的方式,在受害人机器上偷偷加密正常文件,并主动执行恶意软件。而这次CryptoWall利用的是.Chm附件。
BP-blog-photo-1.jpg
.Chm文件因何变得危险
.Chm文件格式是HTML文件格式的扩展,它本来是一种用于给软件应用程序作用户手册的特殊文本格式。简单来说,HTML文件格式被压缩和重整以后,就被制成了这种二进制的.Chm扩展文件格式。通常,.Chm文件格式由压缩的HTML文件、图像、Javascript这些文件组合而成,同时,它可能还带有超链接目录、索引以及全文检索功能。
这些.Chm文件有着较多的用户交互,并且采用了一系列的技术。其中包含的Javascript代码自不用多说,它可以在你打开.Chm文件时,直接重定向到一个外部链接。也就是说,用户只要打开一次这类文件,里面包含的恶意代码就可能主动运行。这似乎给人一种感觉,即用户交互更少的时候,感染的机会反而更大。
真实案例分析
下面这份来自内网的传真邮件样本,让我们不得不相信,这些邮件是为了渗透各大公司而特别打造的
BP-blog-photo-2.jpg
一旦用户访问了这些.chm文件的内容,恶意代码会主动访问类似于
39dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5c8Y4m8#2N6s2c8&6i4K6u0W2k6i4S2W2i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1&6i4K6V1K6i4@1u0q4i4@1f1$3i4K6S2q4i4@1p5#2i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1#2i4@1t1H3i4K6R3$3i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1$3i4K6W2p5i4@1p5#2i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3i4@1f1#2i4K6S2r3i4@1p5$3i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1@1i4@1t1^5i4@1u0m8i4K6t1#2N6r3g2E0M7q4)9J5y4g2)9#2b7$3&6S2N6r3#2S2M7$3I4S2x3W2)9J5k6h3g2^5k6g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7#2)9^5x3q4!0q4y4g2)9&6x3q4)9^5c8g2!0q4y4q4!0n7z5q4!0n7b7W2!0q4y4g2)9^5b7g2!0m8z5q4!0q4y4W2)9^5z5g2!0m8y4#2!0q4z5q4!0m8x3g2)9^5b7@1y4J5P5i4m8@1L8#2N6S2L8r3I4Q4c8e0k6Q4z5o6q4Q4b7U0k6Q4c8e0k6Q4z5o6c8Q4z5p5k6Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8e0g2Q4b7V1q4Q4z5p5k6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0S2Q4z5o6m8Q4z5p5y4Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0k6Q4z5f1y4Q4z5f1k6Q4c8e0W2Q4z5e0N6Q4b7U0c8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0c8Q4b7V1y4Q4z5f1q4Q4c8e0g2Q4b7V1y4Q4b7U0W2Q4c8e0g2Q4z5o6N6Q4b7V1q4Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0g2Q4z5e0q4Q4b7V1c8Q4c8e0c8Q4b7V1u0Q4b7e0c8Q4c8e0k6Q4z5p5k6Q4z5e0m8Q4c8e0N6Q4b7e0c8Q4b7V1q4Q4c8e0k6Q4b7e0q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.BP-blog-photo-3.jpg
这场电子邮件攻击风暴发生在2月18日,有成百上千的用户受到波及。而垃圾邮件服务器的似乎在越南、印度、澳大利亚、美国、罗马尼亚以及西班牙等诸个国家都有分布。在分析收件人的邮箱域名时,我们发现受害用户同样遍及世界各地,包括美国、欧洲以及澳大利亚。
Bitdefender实验室将这种病毒定义为Trojan.GenericKD.2170937
安全建议
你可以下载Bitdefender实验室开发的防护程序,普通用户可以利用它阻止cryptowall在不知不觉中将文件加密。
[参考来源darkreading,由FreeBuf小编dawner翻译整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
