典二十一慵巧:【预警】勒索病毒Ouroboros开学来袭,持续更新惹人关注

互联网
2019
09/03
14:07
分享
评论
本文来源:http://www.144568.com/www_lwxs520_com/

申博娱乐直营网,  张毅也表示,星巴克之前没有开放对国内第三方支付应用的接口主要原因也许在于法律风险,由于星巴克是美国公司,一些方面与中国法律法规有差异,存在较真的问题。  融资记录:2015年获得深圳创新谷投资人朱波230万元天使投资,2016年1月26日,“神奇百货”宣布获得2000万元人民币A轮融资,本轮由中国领投,真格基金、创新谷跟投。  评天下游戏、测产品深浅—新浪中国网络游戏排行榜CGWR!   而不少上市公司的跨界并购炒作,实质都是“皇帝穿新装”的“伪市值管理游戏”,变相操纵股价,损害中小投资者。

  美国实行两党制。行情12月07日【广西IT前线今日报道】惠普Pavilion14-AL131TX搭载第七代英特尔#174;酷睿i5-7200U处理器,采用KabyLake架构,运用成熟的14纳米工艺,功耗较第六代更低。在聊天过程中,对方准确报出了小宋购买的物品和订单号,小宋也逐渐对对方失去了怀疑。  新浪中国网络游戏排行榜是以由新浪游戏专业评测员组成的评测团队为核心,以游戏的画质、类型、风格、题材等游戏特性为依据,对中国(大陆港澳台)、欧美、日韩等地区正在进行测试或正式运营的新网游产品进行评测并打分后产生的权威游戏排行榜。

  2、投资收紧大批拼车公司面临断粮。孰是孰非,外人难以知晓,但可以确定的是牢牢控制中国中高端市场的外国润滑油品牌向来在中国卖的售价远高于国外。新浪游戏不负众望,斩获了“2015移动游戏影响力媒体TOP10”殊荣。行情12月07日【广西IT前线今日报道】惠普Pavilion14-AL131TX搭载第七代英特尔#174;酷睿i5-7200U处理器,采用KabyLake架构,运用成熟的14纳米工艺,功耗较第六代更低。

【亚信安全】-【2019年9月2日】近日,亚信安全截获全新勒索病毒Ouroboros,此勒索病毒在加密文件完成后会添加.[ID=十位随机字符][Mail=unlockme123@protonmail.com].Lazarus的后缀,亚信安全将其命名为Ransom.Win32.OUROBOROS.SM。随着深入的分析,安全专家发现了黑客使用的FTP服务器,服务器上还存有Ouroboros勒索病毒变种文件,安全专家推测该勒索病毒目前正处在持续更新中,亚信安全将会持续关注该勒索病毒的动态。

勒索病毒Ouroboros详细分析

安全专家分析发现,该勒索病毒源文件并未加壳:

使用IDA打开此文件,加载符号文件时发现病毒作者编译程序留下的符号文件位置,以此确定此勒索病毒为Ouroboros:

初步分析,该勒索病毒中有大量的反调试函数,或者通过函数中包含return函数的形式增加病毒分析难度:

进入到程序关键函数,该勒索病毒会调用PowerShell程序,通过vssadmin delete shadows /all /y命令删除卷影副本:

然后加载病毒中需要的信息,如邮箱信息,生成ID:

在地址40A000的位置,安全专家发现勒索病毒会进行进程遍历,关闭与数据库相关的进程:

该病毒使用了SFML(Simple and Fast Multimedia Library)网站的一个资源:http[:]/www[.]sfml-dev[.]org/ip-provider.php

访问此网址后,可以获取到访问者的公网IP地址(图中红框位置为get请求包内容):

然而在此勒索病毒中,此网站成了用来获取受害者IP的工具(为了正常分析,我在本地搭建了一个web,通过hosts将sfml-dev[.]org指向本地,图中地址为本地web环境伪造的响应地址):

该病毒会尝试建立与主机176.31.68.30的连接,等到程序收集了IP、ID、磁盘使用情况和key的信息后,一并发送给主机176.31.68.30,并且等待返回包。

该病毒不会在主线程中直接进行加密操作,而是将加密逻辑的函数地址作为参数传递给新创建的线程,新线程中获取到对应参数,再进行跳转执行。加密逻辑会遍历磁盘上的文件夹,检查是否是Windows目录以及文件名中是否包含eScan、!qhlogs、info.txt字符,如果符合条件,避免对这些文件或者目录下的文件进行加密操作

否则其会读取文件内容,开始在内存中对文件内容进行加密:

文件内容加密完成后,其会创建以下后缀的文件:[ID=十位随机字符串][Mail=unlockme123@protonmail.com].Lazarus

然后,其将加密内容写入创建的带后缀的文件中,随后删除未被加密的源文件:

完成勒索后,释放勒索信息的文件Read-Me-Now.txt,文件内容如下:

普通勒索病毒到这里可能就已经完成了所有逻辑,但是安全专家做了静态分析后发现,此病毒还会触发ftp连接的操作,从176.31.68.30的ftp上下载名为uiapp.exe的文件到本地C:\\ProgramData\\uiapp.exe,此后,启动新的进程来执行此文件:

安全专家对下载的Uiapp.exe文件进行了简单的分析,发现此程序没有明显的恶意行为,仅仅只是为了更加醒目的显示勒索信息:

双击执行后,桌面会弹出如下的勒索信息界面:

安全专家还在176.31.68.30的ftp中发现了另一个exe文件:crypt.exe(该文件被检测为Ransom.Win32.OUROBOROS.AA),依据文件名安全专家怀疑该文件是此次勒索病毒最初的来源,所以将crypt.exe文件和安全专家截获的勒索病毒做了hash对比,发现并不一致:

但是经过进一步的分析发现,两者代码块中的内容几乎一致,仅仅只是编译时间上的不同,crypt.exe的文件编译时间较新,据此安全专家怀疑Ouroboros勒索病毒正在持续更新中,未来亚信安全会密切关注。

亚信安全教你如何防范

不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;采用高强度的密码,避免使用弱口令密码,并定期更换密码;打开系统自动更新,并检测更新进行安装;尽量关闭不必要的文件共享;请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全产品解决方案

亚信安全病毒码版本15.329.60,云病毒码版本15.329.71,全球码版本15.329.00已经可以检测,请用户及时升级病毒码版本。

IOCs

MD5:

87283fcc4ac3fce09faccb75e945364c

e3caef2e2bdc4b08d625d4845f3205b6

THE END
广告、内容合作请点击这里 寻求合作
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

申博娱乐直营网

相关推荐

1
3
申博网址 申博代理直营网 申博游戏登录 申博官网娱乐城登入 申博开户登入 新版申博开户直营网
申博电子娱乐 www.8888msc.com 菲律宾申博红太阳娱乐直营网 www.msc22.com www.33sbc.com 申愽下载直营网
太阳城娱乐138申博直营网 菲律宾太阳城申博直营网 太阳城申博娱乐官网直营网 太阳城申博娱乐www.sbc66.com 申博开户现金网直营网 申博代理网直营