收到美国法院传票,请不要随便打开,这可能是一次勒索
发布网友
发布时间:2024-05-05 20:48
共1个回答
热心网友
时间:2024-05-05 23:12
警惕!勒索病毒BadCkat的新威胁:*传票伪装下的恶意行动</
BadCkat勒索病毒,起源于2016年的开源项目EDA2,通过C++重写以躲避检测,其攻击手法巧妙地通过伪装成*传票邮件进行。邮件中嵌入的加密Word文档,一旦用户启用宏,恶意模块便会悄无声息地执行,利用Chilkat商业库进行通信,需要通过Tor获取加密的RSA公钥来解锁数据。
追踪BadCkat的行动路径,其特有的请求字段如total、country、network和subid指向total.php,与Karo家族存在相似的网络请求,但加密方式和指挥与控制(C&C)架构不同。尽管两者在网络接口和恶意代码上相似,但BadCkat的C++编写的兼容性和加密安全性更胜一筹。Karo虽然基于EDA2项目,但BadCkat可能源于EDA2的衍生版本。
勒索行动中,BadCkat利用MD5硬件信息作为PC的独特标识,通过邮件传播,涉及多步骤攻击:PE文件的下载与执行,VBA宏的激活,以及自解压程序、Loader和install.sql文件的协同工作。首先,邮件中隐藏的下载器伪装成PNG图片下载器,触发用户在内网环境打开,随后taskwgr.exe作为RAR SFX执行,进一步下载并运行加密程序。
关键步骤:</
Loader模块:taskwgr.exe执行自解压,通过svchost.exe和install.sql控制进程,对文件执行加密操作。
勒索模块:加密文件后缀名多样,同时在加密过程中设置AES解密密钥和IV,创建事件以检测环境,如虚拟机环境。
后门行为:清除临时目录,加密文件后在桌面创建ReadMe.html提示赎金信息,删除备份并修改壁纸。
在防范策略上,重要的是要保持警惕,定期备份数据,避免点击不明邮件附件,警惕被重命名的vssadmin.exe,确保防火墙和系统更新,以及*局域网内的文件共享权限。同时,参考启明星辰ADLab的专业分析和安全实践,以应对此类勒索病毒的威胁。
ADLab作为中国领先的安全研究实验室,持续关注并发布安全漏洞研究报告,为用户提供全面的安全解决方案。
