安全专家表示,勒索软件 Erebus 滥用 Event Viewer
提权,允许实现用户账户控制( UAC
)绕过,即用户不会收到允许以较高权限运行程序的提示。此外,勒索软件
Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window
注册表,以劫持与 .msc 文件扩展名相关内容。 

一旦 60 种目标文件扩展名遭 Erebus
加密,桌面就会出现一张赎金交纳通知,受害者在点击 “ 恢复文件 ”
后页面将跳转至 Erebus Tor 支付网站。勒索软件 Erebus 赎金金额已由今年 2
月约 90 美元( 0.085 比特币)飞涨至 29,075 美元( 10 比特币
),最近价格为 15,165 美元( 5.4 比特币)。 

一款名为 FireCrypt
的勒索软件正悄然来袭。它不仅具备一般勒索软件的特性,会将受感染的系统文件恶意加密。还会试图利用受感染者机器,向其源码中硬编码的
URL 地址,发起微弱的 DDoS 攻击。

一波未平,一波又起。

小编在此提醒您关注加密勒索事件,提前自查业务系统,并做好安全强化加固,做好预防措施。

这个新型勒索软件,是由 MalwareHunterTeam (恶意软件猎人小组)发现的。
以下是 MalwareHunterTeam 和 Lawrence Abrams
提供的对该恶意软件的分析报告。

10月13日,有一起突发事件:据受害者爆料,本来一路心情愉快地去上班,开机却遭遇突发异常状况:“昨天下班前电脑还好好的,今天突然开机之后电脑突然很卡,我并没有在意。结果等了一会,突然浏览器自动打开,弹出了一个勒索界面,告诉我所有的文件都已经被加密了,只有点击链接用比特币交付赎金之后才能拿到解密的密钥。”详情请见
安全专家深度解析,一觉醒来文件加密被逼万元赎金,怎么破?

(文/开源中国)    

作为勒索软件构建套件的 FireCrypt

上述中招文件均被加密成以“.ODIN”扩展名结尾的文件。

恶意软件通常通过从源码编译生成,或者通过软件来自动生成,自动化软件会采用某些输入参数,并以此来定制恶意软件的有效载荷。

最近,据外媒Neowin
和softpedia报道,一款名叫DXXD的勒索软件感染了不少服务器、并加密了设备上的文件,受感染的系统中的每一个文件,都会被加上“.dxxd”的后缀(扩展名)。

后者在业内,被称为恶意软件构建器,一般都为 命令行 应用程序或 GUI
的工具。

和“.ODIN”类似,中招后只能交钱了事,DXXD勒索软件开发者也在叫嚣,这次推出的是无法再被破解的新版本。

而 FireCrypt
勒索软件的作者,则使用的是命令行应用程序。在使用过程中,该应用程序会自动将
FireCrypt 的样本文件放在一起,允许他修改基本设置,而不需要再使用笨重的
IDE,重复编译源码了。FireCrypt 的构建器,被命名为
BleedGreen(见下文),它允许 FireCrypt
作者,给勒索软件自定义名称,并使用个性化图标,来生成一个独特的勒索软件可执行文件。与其他勒索软件构建器相比,BleedGreen
算是一个比较低端的构建器。与其他类似的构建器相比,它的自定义选项少的可怜。例如某些类似的构建器,还会有比特币收付款地址,赎金值,电子邮件联系地址等设置选项。

比如,感染后的”photo.png” 文件会被加密成 “photo.pngdxxd”。

图片 1

丧心病狂的是,DXXD修改了Windows注册表的设置,每当用户登录计算机,都会看到勒索信息。它还会把计算机和共享网络上找到的每一个文件都锁住,只留下一个’ReadMe.TxT’的文本文件,里面包含了开发者的邮件联系方式,不然无法解除。

图片 2

注意了哦,这是DXXD的2.0版本,早前,它的1.0版本肆虐时,安全从业者Michael
Gillespie路见不平,拔刀相助,破解了这一版本,还发布了一款免费的解密软件。结果,DXXD勒索软件开发者快马加鞭推出了2.0版本。最搞笑的是,DXXD勒索软件开发者还在注册表中搞了一个账户,在用户登录前就显示了向试图解密它的安全研究人员们叫板的“法律声明”。

图片 3

DXXD勒索软件开发者还叫嚣,自己掌握了一个零日漏洞,可以感染从1995年到2016年所有windows版本。

BleedGreen 除了可以将生成的可执行文件 EXE ,伪装为 PDF 或 DOC
的图标外,它还会对勒索软件的二进制文件做细微的改动,以便在每次编译时,都能生成一个具有不同哈希值的文件。

图片 4

该技术经常被恶意软件开发人员,用来创建所谓的“多态性恶意软件”,这样做的目的就是尽可能的躲避杀毒软件的查杀。根据MalwareHunterTeam
的介绍,“BleedGreen
构建器是一款非常低端和基础的勒索软件构建器,因此它并不能真正意义上实现免杀。”

图片来源:softpedia

不过从这也可以看出,FireCrypt
的作者还是具备一定的恶意软件开发经验的,而不是一个只会从 GitHub
下载开源勒索软件的脚本小子。

Bleeping Computer的创始人Lawrence
Abrams认为,DXXD开发者是通过暴力破解“远程桌面访问”密码的方式侵入服务器,如果你的电脑已经感染,建议重置所有受影响机器的密码。

FireCrypt 感染过程

目前,尚未有解密新版DXXD勒索软件的方法,因为研究者还没有接触到 DXXD 2.0
的源代码。

能否将 FireCrypt
感染给目标系统,取决于勒索软件的分发者能否成功诱使目标用户启动生成的 EXE
可执行文件。

Michael Gillespie正在鼓励受害者与他联系,并建议不要支付赎金。

一旦生成的恶意 EXE 文件被成功触发,那么 FireCrypt
将会杀死计算机的任务管理器(taskmgr.exe)进程,并使用 AES-256
加密算法,对列表中的 20 个文件类型进行加密。

图片 5

所有被加密文件的原始文件名和扩展名都将附加“.firecrypt”后缀。例如,名为
photo.png 的文件,将被重命名为 photo.png.firecrypt。

DXXD 1.0版本的解码软件截图

图片 6

【编辑推荐】

一旦文件加密过程结束,FireCrypt
就会在桌面,弹框警告用户按其要求支付相应的赎金,以此来换取文件的解锁。

图片 7

据 MalwareHunterTeam 介绍说,该赎金弹框与去年 10月14日
小组发现的一款勒索软件的赎金弹框几乎是一样的。

图片 8

当时发现该勒索软件时,好像还处于开发阶段并未成型。直到今年才发现,有受感染机器的文件被加密。

唯一不同的是,去年发现的那款勒索软件在赎金弹框顶部放置了一个类似 logo
的标志,而 FireCrypt 却移除了这个标志。

但是,通过仔细检查 Deadly 的源代码,MalwareHunterTeam
发现这两款勒索软件,使用的电子邮件和比特币地址相同,这表明两者之间紧密相关,FireCrypt
极有可能是 Deadly 这款勒索软件的升级版。

图片 9

DDoS 之用垃圾文件填充你的硬盘驱动器

除了加密受感染用户文件并向用户索要赎金外, FireCrypt
还会调用其源码包含的一个函数,该函数会持续不断地连接到远程的一个 URL
地址,下载一些垃圾文件,并自动将其保存在你硬盘的 %Temp%
文件下,同时命名为 [random_chars]-[connect_number].html。

如果用户不知道这个功能,FireCrypt
将会在短时间内,将垃圾文件迅速填充满你的 %Temp% 文件夹。

当前该版本的 FireCrypt 勒索软件,将会从远程连接并下载
上的内容,该 URL
为巴基斯坦电信管理局的官网地址。当前,我们无法使用勒索软件的构建器修改此
URL。

图片 10

FireCrypt 的作者将此功能称为
“DDoSer”,他必须感染成千上万台的机器,才有可能对巴基斯坦电信管理局的官网发起
DDoS
攻击。此外,所有受感染的计算机,都必须处于连网状态,只有这样才能参与到其发起的
DDoS 的攻击。

截至这篇文章发布,还没有发现有效方法来恢复这些被加密的文件。因此,一旦你感染了这种勒索软件,想要在短时间内恢复文件,则可能不得不按要求支付
500 美元
的赎金来解锁。相反,如果你实在不愿意或无力支付这笔赎金。那么,请务必保留好这些被加密文件的副本,或许不久以后就会有人放出它的解密器。

定位文件扩展名:

.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrent 

与 FireCrypt 勒索软件相关联的文件:

%AppData%MicrosoftWindowsStart MenuProgramsStartup[random_chars].exe - Startup Executable  %Desktop%[random_chars]-READ_ME.html - Ransom Note  %AppData%SysWin32files.txt - List of Encrypted Files  %Desktop%random_chars]-filesencrypted.html - List of Encrypted Files  %Temp%random_chars]-[connect_number].html - Files downloaded during the DDoS attack 

与 FireCrypt 勒索软件相关的哈希值:

leedGreen 构建器(当前 VirusTotal 扫描结果显示,在 57
款杀毒软件检测中,只有 2 款杀毒软件,认为它是恶意软件):

SHA-256: e77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032d 

一个 FireCrypt 勒索软件二进制示例(当前 VirusTotal 扫描结果显示,在 57
款杀毒软件检测中,只有 13 款杀毒软件,认为它是恶意软件):

SHA-256: d49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434f 

电子邮件地址和付款联系人:

EMAIL: gravityz3r0@sigaint.org

【编辑推荐】