安全動態(tài)

含有緊急出口圖的垃圾郵件推送GandCrab勒索軟件

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-01-27    瀏覽次數(shù):
 

信息來源:4hou

研究人員近日發(fā)現(xiàn)一起新的垃圾郵件活動,垃圾郵件活動會發(fā)送收件人所在建筑物的緊急出口圖給收件人,緊急出口圖同時也被用戶安裝GandCrab勒索軟件。

據(jù)Myonlinesecurity.co.uk消息,之前在傳播Ursnif銀行木馬的服務(wù)器現(xiàn)在開始推送GandCrab v5.1勒索軟件了。

BleepingComputer決定深入分析傳播的垃圾郵件和文件,以確定活動的工作原理。

最新的垃圾郵件活動假裝發(fā)送給接收者所在建筑物的緊急出口圖。郵件稱來自Rosie L. Ashton,主題是Up to datе еmеrgеnсy еxit map(最新緊急出口圖),附件中有一個名為Emergencyexitmap.doc的word文檔。

打開附件后,用戶可以看到內(nèi)容Emergency exit map,和彈窗“enable content”。

惡意word文檔

如果用戶點擊Enable Content,word宏就會執(zhí)行PowerShell腳本在計算機上下載和安裝GandCrab v5.1勒索軟件。

混淆的宏

從上面可以看出, PowerShell腳本被混淆了,這樣就很難看出到底發(fā)生了什么。

混淆的word宏

解混淆后,可以看出宏文件會從http://cameraista.com/olalala/putty.exe下載一個名為putty.exe文件,并保存為C:\Windows\temp\putty.exe,然后執(zhí)行putty.exe。

反混淆的PowerShell腳本

putty.exe可執(zhí)行文件其實就是GandCrab 5.1,執(zhí)行后會開始加密計算機上的文件。就像之前的GandCrab一樣,GandCrab會繼續(xù)加密文件并在文件名中加入隨機的擴展。

GandCrab 5.1加密的文件

在加密計算機時,GandCrab還會在每個加密的文件夾中創(chuàng)建勒索信息。勒索信息表明GandCrab的版本是v5.1,并給出如何支付贖金的指示。

GandCrab 5.1勒索信息

目前還無法解密GandCrab 5.1加密的文件。這也給我們一個啟示就是,不要隨便打開郵件中的附件,除非你很清除郵件的發(fā)送者以及附件中的內(nèi)容。研究人員還建議打開附件前使用殺毒軟件對文檔進行掃描。

 
 

上一篇:順風(fēng)車 搶紅包 互聯(lián)網(wǎng)上的春節(jié)近了

下一篇:2019年01月27日 聚銘安全速遞