钓鱼邮件传播勒索病毒再升级,不落地加大查杀难度
www.xinwenren.com  2018-01-28 13:24:33  

钓鱼邮件作为传播勒索病毒的常用手段,通常在邮件正文利用社工手段诱使用户点击邮件附件,附件的文档内容诱使用户开启宏。用户一旦将宏开启,文档中所包含的恶意宏代码即自动运行,实施对用户电脑加密、勒索等行
钓鱼邮件作为传播勒索病毒的常用手段,通常在邮件正文利用“社工手段”诱使用户点击邮件附件,附件的文档内容诱使用户开启宏。用户一旦将宏开启,文档中所包含的恶意宏代码即自动运行,实施对用户电脑加密、勒索等行为。
 
近日,腾讯反病毒实验室捕获到一批钓鱼邮件,附件包含的恶意宏代码实现了下载并运行一个NSIS(Nullsoft able Install System)勒索木马的行为,该勒索木马将加密用户机器上的文件并进行付款勒索。这里真正执行加密、勒索的payload是该NSIS文件经过一系列解密操作后直接在内存中加载的一个PE文件,该文件并未落地到用户磁盘上,因此使用这种方式可以加大杀软查杀的难度。
 
 
勒索文件运行后,会对系统中的特定类型的文件进行加密,加密后的文件后缀名改为了..doc,并且在每个被加密文件的目录下生成一个Read___ME.html文件。下图显示了Notepad++安装目录下加密后的文件,其中的文件夹目录里的文件也被加密,并且在每个目录都生成了Read___ME.html:
 
 
 
NSIS文件首先解密出System.dll,释放在系统目录的Temp目录下,之后在Temp目录再解密释放出另一个相关文件文件,接着调用System.dll的call函数和所释放的文件,解密出实行勒索的PE文件,该PE文件未释放到用户磁盘上,而是直接在内存中加载运行,实施加密用户文件和勒索行为。
 
 
反病毒实验室在捕获到上述钓鱼邮件不久之后,又捕获到另一批钓鱼邮件,也是通过诱使用户开启宏,执行其恶意宏代码,下载木马文件。所不同的是该木马文件不再是NSIS样本,而是EXE文件,但思路是一致的,也是该EXE文件通过一系列解密操作,解密出真正执行加密勒索行为的木马,该木马同样未落地到用户机器,是直接内存加载。

上一篇:近期部分板块、个股异常交易特征明显 已密切关注
下一篇:新媒体语境下的马拉松传播与城市营销

分享到: 收藏
精彩推荐