安全研究人员发现了一个有趣的恶意软件,它会使用加密货币挖掘者或勒索软件感染系统,具体取决于他们的配置,以决定哪两个方案可以更有利可图。
尽管勒索软件是锁定您的计算机,并阻止您访问加密的数据,直到你支付赎金获得解密文件所需的解密密钥的类型的恶意软件,Cryptocurrency(数字货币)矿工利用感染系统的CPU电源防雷数字货币。
勒索软件和基于加密货币挖掘的攻击都是今年迄今为止的主要威胁,并且存在许多相似之处,例如非攻击性攻击,针对非目标用户进行的金钱攻击以及涉及数字货币的攻击。
然而,由于锁定计算机以获取赎金并不能保证在受害者没有必要失去的情况下获得回报,在过去几个月中,网络犯罪分子已经转向欺诈性加密货币挖掘,作为使用受害者计算机提取资金的方法。
俄罗斯安全公司卡巴斯基实验室的研究人员发现了一种新的Rakhni勒索软件系列,现已升级为包括加密货币挖掘功能。
Rakhni恶意软件使用Delphi编程语言编写,使用带有MS文件的鱼叉式网络钓鱼电子邮件进行传播,如果打开,会提示受害者保存文档并启用编辑。该文档包含一个PDF图标,如果单击该图标,则会在受害者的计算机上启动恶意可执行文件,并在执行时立即显示虚假的错误消息框,诱使受害者认为打开文档所需的系统文件丢失。恶意软件如何决定做什么?但是,在后台,恶意软件会执行许多反VM和反沙箱检查,以确定它是否可以感染系统而不会被捕获。如果满足所有条件,则恶意软件会执行更多检查以确定最终的感染负载,即勒索软件或矿工。
1.)安装勒索软件-如果目标系统在AppData部分中有一个"比特币"文件夹。
在使用RSA-1024加密算法加密文件之前,恶意软件会终止与预定义的常用应用程序列表匹配的所有进程,然后通过文本文件显示勒索信息。
2.)安装加密货币矿工-如果"比特币"文件夹不存在且机器有两个以上的逻辑处理器。
如果系统被加密货币矿工感染,它会使用MinerGate实用程序在后台挖掘Monero(XMR),MoneroOriginal(XMO)和Dashcoin(DSH)加密货币。
除此之外,恶意软件使用CertMgr.exe实用程序来安装声称由MicrosoftCorporation和AdobeSystemsIncorporated发布的假根证书,以试图将矿工伪装成可信进程。
3.)如果没有"比特币"文件夹和一个逻辑处理器,则激活蠕虫组件。
此组件可帮助恶意软件使用共享资源将自身复制到位于本地网络中的所有计算机。
研究人员指出"对于文件中列出的每台计算机,特洛伊木马会检查用户是否共享文件夹,如果是,则恶意软件将自身复制到每个可访问用户的文件夹\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup"。
无论选择哪种感染,恶意软件都会检查是否已启动列出的防病毒进程之一。如果系统中未找到AV进程,则恶意软件将运行几个cmd命令以尝试禁用WindowsDefender。
防止自己成为此类攻击的受害者的最佳方法是永远不要打开电子邮件中提供的可疑文件和链接。此外,始终保持良好的备份例程和更新的防病毒软件。(黑客周刊)