本站快讯

    未发布任何快讯哟,快去后台快讯发布吧

比特币价格回暖,Satan勒索再次变种袭击我国

作者 : webmaster 发布时间: 2019-11-25 文章热度:283 共106个字,阅读需1分钟。 本文内容有更新 字体:

概述

勒索圈有个任性的病毒家族Satan,无论比特币价格如何波动,解密要价都是1 BTC。此次,趁着比特币价格回暖,Satan勒索病毒推出了最新的变种,通过勒索提示信息,可以发现该变种实现了更完整的国产化,作者会提示用户通过火币网购买比特币,或者安装lantern在LocalBitcoins上进行购买,通过这些迹象猜测,Satan团伙中可能加入了某些中国黑客。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

被加密的文件后缀为[密钥].session。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

病毒母体为c.exe,文件编译的时间为11月3号。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

勒索追踪

病毒运行后,通过抓包发现,它会与C&C服务器111.90.159.105进行通信,上传加密文件信息、主机信息、病毒运行状态信息。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

对该IP进行追踪,发现该C&C服务器来自于马来西亚。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

谷歌地图定位到,这是吉隆坡一个叫Jalan Perdana的地方。

通过以上信息,我们判断这个C&C服务器极有可能只是黑客一个拿来中转的肉鸡,黑客真正的藏身地并不在此。

勒索分析

病毒母体c.exe运行后,会先自克隆一份到C盘根目录,然后释放运行勒索病毒cpt.exe,密码窃取工具mmkt.exe,以及blue.exe、star.exe等永恒之蓝攻击套件。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

这些攻击组件释放在Program Data/和All Users/目录下。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

传播过程,首先病毒会使用Mimikatz窃取用户凭据(这里作者编码的mmkt.exe运行出错了,所以没有窃取到凭据),然后调用WMIC远程下载执行病毒母体,实现横向传播勒索病毒。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

若上述凭证窃取的方法登陆失败,则利用永恒之蓝、双脉冲星漏洞进行横向传播。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

在代码还发现了泛微OA的漏洞利用代码。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

添加注册表自启动项Win0Start,实现开机自动运行勒索病毒cpt.exe。

比特币价格回暖,Satan勒索再次变种袭击我国-悠哉网

结尾

随着大部分企业终端都打上了MS17-010补丁,病毒使用永恒之蓝漏洞进行传播的成功率大大下降,但慢慢的,病毒都开始采用mimikatz凭证窃取的方式进行横向移动,只要一台病毒感染了一台内网主机,就能继续传播到另一台密码相同的主机,所以,建议大家,内网终端尽量不要设置相同的密码,避免一个终端中毒,导致全网瘫痪。

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
悠哉网 » 比特币价格回暖,Satan勒索再次变种袭击我国

发表评论

457+

本站勉强运行

298+

用户总数

3283+

资源总数

7+

今日更新

2020-5-28

最后更新时间