41期報告匯總
安天發布《勒索者與DDOS結合體樣本分析》報告
近日,安天追影小組分析了一個勒索者與DDOS結合體樣本,該樣本與其他勒索軟件相似,也是通過word文檔中嵌入式宏執行shell命令,生成vbe腳本進而下載并運行惡意軟件。該勒索者病毒不僅加密磁盤文件進行勒索,還會將受害者做為DDOS攻擊載體來進行DDOS攻擊,攻擊目標的IP范圍為85.93.0.0
– 85.93.63.255,端口為6892。
經過分析發現該勒索者家族為臭名昭著的“Cerber”勒索軟件的變種,Cerber出現于2016年3月,因其感染windows用戶后將文件擴展名修改為“.cerber”而得名,其采用AES-256加密算法加密受害者文件。值得一提的是Cerber也是首款會“講話”的勒索軟件,其會通過電腦合成音制作提示消息,提示的內容為“警告!警告!警告!
你的文檔、照片、數據庫以及其他重要文件已經被鎖定”,由此看來惡意軟件的制作者也是“煞費苦心”。
樣本行為
1、樣本加密行為:該病毒運行后,加密系統中的文件、圖片、視頻等文件并生成提示交贖金文件,頁面顯示有明顯“CERBER”標識。
2、樣本運行行為:該病毒運行后,有自刪除、向其他進程寫入數據、釋放PE文件、設置自啟動、修改文件創建時間等行為。
3、樣本網絡行為:樣本運行后以毫秒級的時間間隔向IP 范圍為85.93.0.0 –
85.93.63.255,端口為6892的目的地址發送UDP攻擊包。
面對勒索軟件呈現出的泛濫趨勢,安天追影小組提醒廣大用戶加強個人信息安全防范意識,不隨意打開陌生郵件及其附件,不隨意點擊陌生鏈接,不隨意運行不明應用程序,通過官方網站下載正版軟件,及時升級應用程序,重要文件要定期進行備份,以防萬一。