打开远程桌面服务时要小心。攻击者使用PsExec传播ransomware HC7

上个月,安全研究人员发现了一种叫做HC7的新软件,那些运行Windows远程桌面服务并可公开访问的计算机成为了它的受害者。

一开始没有发现HC7,但是发现了HC6。由于是基于Python转换成exe的可执行文件,ID Ransomware的创建者Michael Gillespie在提取其脚本后确定其可解密,并发布了一个免费的解密器。

不幸的是,仅仅过了几天,HC6的开发者就发布了一个新版本,叫做HC7。这个版本是不可破译的,因为他们删除了硬编码的加密密钥,并在运行ransomware可执行文件时切换到输入密钥作为命令行参数。

目前,攻击者正在搜索运行Windows远程桌面服务的可公开访问的计算机。一旦被发现,他们就会试图入侵这些电脑。入侵成功后,将安装HC7。不仅如此,攻击者还利用PsExec(一种远程管理协议)搜索网络中的其他计算机,安装le HC7。在下面的源代码中使用Psexec是显而易见的。攻击者会故意找到psexec.exe并跳过它,以防止它被加密。

如上所述,当ransomware可执行文件运行时,攻击者将提供加密密钥作为命令行参数。然后,使用此密钥通过AES-256加密对符合以下扩展名的文件进行加密。

当HC7加密文件时,它会添加。加密文件的文件扩展名。例如,文件test.jpg将被加密并重命名为test.jpg.GOTYA

HC7会在每个文件夹中创建一个名为“recovery . tx”t的赎金单,里面包含一个比特币钱包地址、一个受害者ID、支付指令和一个电子邮件地址(m4zn0v@keemail.me),让受害者可以联系到攻击者。目前赎金需求分为两种形式:单台电脑,价值700美元的比特币;整个计算机网络,价值5000美元的比特币。

受害者标识是通过将字符“09”添加到计算机名称中,然后对结果进行编码而创建的。比特币钱包的地址会从14个地址中随机选取。

幸运的是,因为加密密钥是作为命令行参数传递给程序的,所以可以通过内存快照解密。

瑞安和他的团队使用“磁内存捕获”来生成计算机内存的快照,并将其写入硬盘。然后,使用Volatility框架从内存快照中提取所需的命令行信息。这样,您可以通过在迈克尔吉莱斯皮提供的HC6解密器中输入这些信息来解锁文件。

广西壮族自治区公安厅

暂无留言,赶快评论吧

欢迎留言