freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

警惕RSA SecurID标题的诱饵文档传播Maze(迷宫)勒索病毒
2019-11-19 16:00:49
所属地 广东省

Maze勒索病毒,又称Chacha勒索病毒,是今年5月份由Malwarebytes安全研究员首次发现,此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播,近日笔者监控到一例通过标题为RSA SecurID的诱饵文档传播此勒索病毒的最新样本。

捕获到的诱饵文档是一个以RSA SecurID为标题的文档,内容如下所示:

Snipaste_2019-11-14_16-06-50.png文档里面包含恶意宏代码,诱导受害者双击启动宏代码,恶意宏代码,如下所示:

Snipaste_2019-11-14_16-25-42.png动态调试恶意宏代码,如下所示:

Snipaste_2019-11-14_15-14-19.png读取窗体中的数据,然后进行解析,窗体的数据,如下所示:

Snipaste_2019-11-14_15-11-10.png宏代码解密窗体中的数据,然后从远程服务器hxxp://149.56.245.196/wordupd.tmp下载恶意程序到C:\Windows\Temp\ered.tmp,然后执行恶意程序,如下所示:

Snipaste_2019-11-14_10-33-10.png下载的ered.tmp就是Maze勒索病毒,外壳程序如下所示:

Snipaste_2019-11-14_16-40-22.png分配相应的内存空间,然后解密出勒索病毒的核心代码,如下所示:

Snipaste_2019-11-14_16-42-09.png再跳转执行勒索病毒核心代码,如下所示:

Snipaste_2019-11-14_16-53-06.png此勒索病毒加密后的文件后缀名为随机文件名,如下所示:

Snipaste_2019-11-14_16-55-47.png勒索提示信息文件DECRYPT-FILES.txt,内容如下所示:

Snipaste_2019-11-14_16-57-26.png加密文件之后会修改桌面背景图片,如下所示:

Snipaste_2019-11-14_16-58-49.png该勒索病毒解密网站,如下所示:

Snipaste_2019-11-14_17-14-53.png上传勒索提示信息文件之后,如下所示:

Snipaste_2019-11-14_17-17-36.png

勒索赎金为:0.13967635 BTC,相当于1200美元,过期翻倍,我去!现在搞勒索都这么黑的,上次还是400美元,这次直接1200美元了,黑客的BTC钱包地址:

334yPgzDkqD7vvh2GKMrFSQneWVp2onvUq

文档内容上显示的时间为2019年11月12日,估计是12号制作的诱饵文档,最近一段时间一些流行的勒索病毒家族主要使用漏洞和垃圾邮件两种方式进行传播感染,各企业一定要做好相应的防范措施,大部分流行的勒索病毒暂无公开的解密工具,此勒索病毒之前主要使用漏洞利用工具包,通过假虚网站或垃圾网站挂马的方式进行传播,此次又增加了垃圾邮件文档的方式进行传播,可见勒索病毒黑客团伙不断在更新增加自己的攻击传播方式,以获取最大的利益,未来会不会也会利用无文件的方式传播此勒索病毒呢?

IOC

MD5

a2d631fcb08a6c840c23a8f46f6892dd

a0c5b4adbcd9eb6de9d32537b16c423b

C&C

149.56.245.196

91.218.114.4   

91.218.114.25  

91.218.114.11  

91.218.114.26  

91.218.114.31

URL

hxxp://149.56.245.196/wordupd.tmp

hxxp://91.218.114.4/messages/content/appvsgp.html?kakp=2mj&rkjn=koimf  

hxxp://91.218.114.11/forum/hhiwoqn.action  

hxxp://91.218.114.4/messages/jwt.asp?rgct=dp&gf=m1h&igtu=617lg1ps42&q=0q7r0l6v

hxxp://91.218.114.25/view/check/fvksl.html?dab=a6tud3  

hxxp://91.218.114.26/archive/pj.jspx?wi=h1265&hi=e 

hxxp://91.218.114.31/support/mkhbm.action?vshw=m627m   

hxxp://91.218.114.11/ticket/nsa.jsp?efd=g0xay3bx&mtu=1 

hxxp://91.218.114.25/pipkl.cgi?ampf=8613eu&cnp=wc6502gj16&q=5m&ycme=35s4b  

hxxp://91.218.114.31/check/s.phtml?uxkv=wjebu46&wmbk=12vc05ja7m

hxxp://91.218.114.26/support/uuxyhvhu.do?ic=wjpr4uy&lpap=2&edem=62i22cgi41&p=dj6

*本文作者:熊猫正正,转载请注明来自FreeBuf.COM

# 勒索病毒 # RSA SecurID # 诱饵文档 # Maze
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者