尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
聽說世界上只有百分之3的人關注Jayson,很幸運你是其中一位
近期,安全研究專家發現了一款非常有意思的惡意軟件,它會根據目標用戶的電腦配置來決定到底用哪個方案來從用戶身上牟利。
勒索軟件可以鎖定你的電腦,並通過對數據進行加密來阻止你訪問自己電腦中的文件,直到你向攻擊者支付贖金才行,而非法挖礦軟件利用的是目標用戶設備的CPU算力以及電能來挖加密貨幣。這兩種攻擊在這兩年里已經成為了廣大用戶面臨的主要威脅,作為非針對性攻擊而言,這兩種攻擊具有一定的相似性,因為它們不僅都需要從目標用戶身上牟取利益,而且兩者都涉及到加密貨幣。
但是,鎖定目標用戶的電腦並不一定能夠給攻擊者帶來利益,因為很多用戶的電腦中並沒有存儲多少有價值的東西,因此很多攻擊者便開始通過利用目標設備的CPU和電能來賺錢,也就是所謂的惡意挖礦。
卡巴斯基實驗室的研究人員將這款惡意軟件命名為Rakhni勒索軟件,而且Rakhni近期更新得也比較頻繁,並提升了其挖礦能力。
Rakhni採用Delphi編寫,並通過微軟Word文檔附件(釣魚郵件)的形式進行傳播,當目標用戶打開附件文檔之後,文件會提醒用戶保存文檔並啟用編輯功能。該文檔包含一個PDF圖標,點擊之後便會在目標用戶設備上運行惡意可執行文件,並立刻顯示偽造的錯誤提示框,然後欺騙用戶讓他們以為系統缺失了相關的組件。
Rakhni如何判斷進行哪種感染操作?
在後台,Rakhni會進行很多反虛擬機和反沙箱檢測操作,如果所有條件都滿足,它便會進行下一步檢測來判斷使用哪一個感染Payload,即感染勒索軟件還是挖礦軟件。
1.安裝勒索軟件:目標系統的AppData目錄中是否擁有跟「比特幣」相關的內容?
在使用RSA-1024加密算法對文件進行加密之前,惡意軟件會終止預定義列表中所有指定的熱門應用進程,並通過文本文件顯示勒索信息。
2.安裝加密貨幣挖礦軟件:若目標系統中沒有跟「比特幣」相關的內容,而設備又擁有兩個或以上的邏輯處理器。
如果系統感染了挖礦軟件,它便會使用MinerGate工具在後台挖XMR、XMO換個DSH等加密貨幣。
除此之外,它還會使用CertMgr.exe工具來安裝偽造的證書,並聲稱該證書由微軟和Adobe公司發布,然後嘗試將挖礦軟件偽裝成合法進程。
3.激活蠕蟲組件:若目標系統中沒有跟「比特幣」相關的內容,而設備又只擁有一個邏輯處理器。
這個組件將幫助惡意軟件在本地網路設備中做到自我復制。
除了感染判斷之外,Rakhni還會檢測目標設備是否運行了反病毒軟件,如果沒有運行,Rakhni將會運行多個cmd命令來嘗試禁用Windows Defender。
竟然還有間諜軟件功能?
研究人員表示,Rakhni另一個非常有意思的地方就在於它還具備了某些間諜軟件功能,其中包括列舉正在運行的進程列表以及做到螢幕截圖。
這款惡意軟件主要針對的是俄羅斯地區的用戶(95.5%),其中還有一小部分用戶位於哈薩克斯坦(1.36%)、烏克蘭(0.57%)、德國(0.49%)和印度(0.41%)等地。
緩解方案
保護用戶安全最好的方法就是不要打開郵件中嵌帶的可疑文件和鏈接,並定期更新你的反病毒軟件。除此之外,別忘了定期備份有價值的數據。
跟著Jayson玩耍看世界,帶你裝逼帶你飛。喜歡的觀眾老爺可以點波關注,Jayson在此跪拜!
