热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

Dharma勒索软件继续大肆传播,据称已有100多家希腊网站沦陷

来源:黑客视界 2018.11.15

 

在过去的几个月里,有新闻报道称,一家颇受欢迎的啤酒厂遭到了勒索软件的攻击,而与此同时,一个主要的海港也遭遇了同样的问题,导致进出港口的船只受到影响。调查显示,这两起案件的罪魁祸首都是Dharma(也称CrySiS)勒索软件。

事实上,有很多Dharma勒索软件变种在短时间内出现,伴随而来的是一些新的扩展名,如.bip和.combo,以及最近的.gamma。

FortiGuard Labs表示,他们近几年来一直在追踪Dharma勒索软件家族。虽然Dharma勒索软件仍在继续大肆传播,但攻击者实际上并没有更新他们的操作模式,仍继续依赖于一种已经被公开披露的策略来寻找并感染新的受害者,即利用RDP远程桌面服务来实现对目标网络的访问。

就像FortiGuard Labs在之前的报告中所介绍的那样,RDP凭证可以很容易地在暗网上购买到,或者通过暴力破解来获取。一旦通过身份验证,Dharma攻击者就可以映射硬盘远程共享,或者使用剪贴板来将恶意内容传递给受害者。在此之后,攻击者就拥有了在网络中随意移动所需的一切,以将勒索软件传播到其他服务器或设备上。

就在上周,FortiGuard Labs发现了一个新的Dharma勒索软件变种。被它加密的文件会附带一个新的扩展名——.xxxxx或.like。然而,与以前的版本(例如.java、.bip、.combo、.arrow、.arena和.gamma)相比,这个新变种并不包括对代码的实质性升级,而只是使用不同的加载程序。

Dharma勒索软件的第一个变种最早出现在2006年,并且一直定期更新持续至今。卡巴斯基和Eset曾联合发布过针对以前的变种免费解密工具。不幸的是,这个工具并不适用于由新的Dharma变种加密的文件。

当这个新的Dharma变种安装在受害者的计算机上时,它会根据需要从.data资源部分执行和解密数据。最初,使用RC4算法加密整个.data部分,并在数据块的开头存储128字节的密钥。然后,一步一步地使用密钥来解密字符串。首先,API名称和地址被解密并存储到堆栈中,然后加载。此外,它会解密用于删除卷影副本、文件扩展名列表、攻击者电子邮件地址、加密文件扩展名、赎金票据以及其他各种加密字符串的命令。

然后,它会将自身配置为在用户登录Windows时自行启动。这允许它加密在上次执行后创建的新文件。

再然后,它将使用以下命令调用cmd.exe来删除卷影副本:vssadmin delete shadows /all /quiet。

它从映射驱动器开始,然后移动到操作系统驱动器的根目录,并通过AES算法的实现来加密文件。在加密一个文件时,它会附加“.id- [id].[电子邮件地址l] .xxx格式”的扩展名  。例如,一个名为“test.txt”的文件在被加密之后,其文件名将被重命名为  “test.txt.id-AC197B68.[recoverdata@protonmail.com].combo”。

在文件加密完成之后,它会在受害者的计算机上弹出两个不同的赎金票据。一个是 Info.hta 文件,当用户登录到计算机时自行打开。

另一个赎金票据名为“FILES ENCRYPTED.txt”,可以在桌面上找到。

FortiGuard Labs表示,Dharma勒索软件一直位于它们的威胁名单上的首位。在过去6个月里,超过25%的攻击来自土耳其。

据知情人士透露,Dharma勒索软件已经攻击了100多个希腊网站。鉴于土耳其和希腊之间在爱琴海岛屿所有权上存在争端,这似乎也表明勒索软件不仅可用于经济利益,同样也可用于激进主义。

售前支持

400-161-0866