Anatova来了!新勒索软件功能更全面

Anatova来了!新勒索软件功能更全面

近日,安全研究人员发现了一个被称为“Anatova”的新勒索软件系列。目前在世界各地都观察到了此勒索软件的感染案例,其中大多数发生在美国,其次是欧洲的一些国家。研究人员认为Anatova可能成为一个严重的威胁,因为其恶意代码是为模块化扩展做准备的。

Anatova来了!新勒索软件功能更全面

而Anatova不影响的国家名单包括:所有独联体国家、叙利亚、埃及、摩洛哥、伊拉克、印度。独联体国家被排除在执行之外,研究人员推测开发人员/攻击者可能来自其中一个国家。

Anatova来了!新勒索软件功能更全面

检查系统语言以避开某些国家

分发能力和恶意功能

Anatova勒索软件能够利用游戏或应用程序的图标诱骗用户下载它,它有一个请求管理员权限的清单。

Anatova来了!新勒索软件功能更全面

有关二进制文件的信息

Anatova勒索软件是一个64位应用程序,编译日期为2019年1月1 日。与其他类项的勒索软件一样,其最直接的目标是加密受感染系统上的所有或多个文件,并要求支付赎金以解锁它们。

根据McAfee研究人员的一份详细的分析报告,这些幕后的攻击者要求受害者支付10个达世币的赎金——目前价值约为700美元,与其他勒索软件系列相比,胃口”相当大。

该勒索软件包括一个反分析进程,只有在特定条件下才会触发。除此之外,它的扩展功能让其成为一款一体化的恶意软件工具。指向这种可能性的线索是一个标志,它的值决定了两个DLL文件的加载,分别为:extra1.dll和extra2.dll。

Anatova来了!新勒索软件功能更全面

通过使Anatova模块化,开发人员可以利用它在运行文件加密过程之前具有优先权的各种功能。除了勒索钱财之外,还用于其他的各种恶意活动。比如,该勒索软件的其他功能包括在受感染系统上收集敏感数据和安装后门。

Anatova的反分析进程

启动后,Anatova勒索软件会首先检查登录用户的用户名,并与加密的名称列表进行比对。如果用户名与加密的名称列表相匹配,则勒索软件会展开清理过程并退出。搜索的用户列表包括:LaVirulera、tester、Tester、analyst、Analyst、lab、Lab、Malware和malware。

McAfee表示,一些分析人员或虚拟机/沙箱在安装过程中使用这些默认用户名,这意味着Anatova勒索软件无法在这些机器/沙箱上运行。

Anatova勒索软件还会连续十次销毁卷影副本,以消除从受感染系统中恢复文件的可能性。

Anatova来了!新勒索软件功能更全面

删除暗影卷10次

它以1MB或更小的文件为目标,以便加快加密过程。与其他勒索软件不太相同的时,被Anatova加密的这些文件不会附加任何特定的扩展名。另外,Anatova仅将赎金通知添加到至少加密了一个文件的文件夹中。

Anatova来了!新勒索软件功能更全面

赎金通知

哈希值

2a0da563f5b88c4d630aefbcd212a35e

366770ebfd096b69e5017a3e33577a94

9d844d5480eec1715b18e3f6472618aa

61139db0bbe4937cd1afc0b818049891

596ebe227dcd03863e0a740b6c605924

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134346.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code