谨防勒索软件,Djvu新变种问世

谨防勒索软件,Djvu新变种问世

在2018年12月,一款名为Djvu的新勒索软件发布,据悉它可能是STOP家族的一个变种,通过破解下载和广告软件包被广泛分发。最初,这个勒索软件会附加.djvu作为被加密文件的扩展名,但最近的变种开始使用.tro扩展名。

首次发布时,安全研究员Michael Gillespie不知道该勒索软件是如何分发的,并且也无法找到主安装程序的样本。然而通过与其他专业人员以及众多受害者就这一问题讨论后,注意到了其中的一个共同点:大多数受害者表示他们是在下载破解软件后被感染的。

谨防勒索软件,Djvu新变种问世

此恶意活动对于攻击者来说非常成功,据ID-Ransomware的报告,许多受害者的设备会每天自动向攻击者的系统提交文件。

谨防勒索软件,Djvu新变种问世

不幸的是,目前还没有办法免费解密受害者的文件,但研究人员正在分析勒索软件,并希望将来能够找到解决办法。

Djvu勒索软件是如何加密计算机的?

通过某些破解软件和广告软件包正在将此勒索软件安装到受害者的计算机上,主安装程序将将安装为%LocalAppData%\[guid]\[random].exe并执行。该程序是Djvu勒索软件主要的组件,它将首先将以下文件下载到同一文件夹:

%LocalAppData%\[guid]\1.exe

%LocalAppData%\[guid]\2.exe

%LocalAppData%\[guid]\3.exe

%LocalAppData%\[guid]\updatewin.exe

其中1.exe将执行各种命令,删除Windows Defender的定义并禁用其各种功能。此可执行文件还将执行名为Script.ps1的PowerShell脚本,该脚本使用此命令禁用Windows Defender的实时监视:

Set-MpPreference -DisableRealtimeMonitoring $true

然后此勒索软件将执行2.exe,它会将多个安全站点和下载站点添加到Windows HOSTS文件中,这样受害者就无法连接到他们以寻求帮助。BleepingComputer是添加到HOSTS文件的站点之一,如下所示。

谨防勒索软件,Djvu新变种问世

HOSTS文件

之后将执行3.exe文件,因为没有找到样本,研究人员无法确定其作用。

在此过程中,Djvu勒索软件将为受感染设备生成一个唯一的ID,根据安全研究员Michael Gillespie的说法,它是系统MAC地址的MD5,并通过 http://morgem[.]ru/test/get.php?pid=[machine_id]这一链接连接到它的命令和控制(C2)服务器。然后,服务器将使用加密受害者文件的加密密钥进行回复。

完成上述所有操作后,勒索软件现在将开始加密计算机上的文件,同时执行updatewin.exe。Updatewin.exe将弹出一个虚假的Windows更新窗口,目的是在加密设备文件时分散受害者的注意力,并使得磁盘活动增加看起来显得正常。

谨防勒索软件,Djvu新变种问世

虚假的Windows更新窗口

加密文件类项

该勒索软件将加密计算机上几乎所有的文件,包括音乐文件、视频文件、文档文件、图片文件、备份文件、银行登陆凭据、可执行文件等。加密文件时,该勒索软件的旧版本会将.djvu 拓展名附加到加密文件名中。例如,test.jpg文件被加密后,会重命名为test.djvu、test.djvus或test.djvut。而新版本则是将.tro扩展名附加到加密文件名,如下图所示:

谨防勒索软件,Djvu新变种问世

加密的.tro文件

最后,勒索软件将创建一个名为“Time Trigger Task ”的计划任务。此任务将以不同的时间间隔不定期启动,以便继续加密设备上创建的任何新文件。

谨防勒索软件,Djvu新变种问世

计划任务

在加密文件时,它会在被加密的每个文件夹中放置一个名为_openme.txt的赎金通知。此赎金通知将说明有关受害者文件发生的情况,另外包括两个电子邮件地址,以便接收付款说明。

谨防勒索软件,Djvu新变种问世

Djvu赎金通知

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134177.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code