这些进攻组件释放在Program Data/和All Users/目次下。
打单阐明
被加密的文件后缀为[密钥].session。
打单圈有个任性的病毒家属Satan,无论价值如何颠簸,解密要价都是1 BTC。此次,趁着比特币价值回暖,Satan打单病毒推出了最新的变种,通过打单提示信息,可以发明该变种实现了更完整的国产化,作者会提示用户通偏激币网购置比特币,可能安装lantern在LocalBitcoins长举办购置,通过这些迹象揣摩,Satan团伙中大概插手了某些中国黑客。
病毒母体c.exe运行后,会先自克隆一份到C盘根目次,然后释放运行打单病毒cpt.exe,暗码窃取东西mmkt.exe,以及blue.exe、star.exe等永恒之蓝进攻套件。
跟着大部门企业终端都打上了MS17-010补丁,病毒利用永恒之蓝裂痕举办流传的乐成率大大下降,但逐步的,病毒都开始回收mimikatz凭证窃取的方法举办横向移动,只要一台病毒传染了一台内网主机,就能继承流传到另一台暗码沟通的主机,,所以,发起各人,内网终端只管不要配置沟通的暗码,制止一个终端中毒,导致全网瘫痪。
打单追踪
添加注册表自启动项Win0Start,实现开机自动运行打单病毒cpt.exe。
概述
末了
病毒运行后,通过抓包发明,它会与C&C处事器111.90.159.105举办通信,上传加密文件信息、主机信息、病毒运行状态信息。
在代码还发明白泛微OA的裂痕操作代码。
谷歌舆图定位到,这是吉隆坡一个叫Jalan Perdana的处所。
若上述凭证窃取的要领登岸失败,则操作永恒之蓝、双脉冲星裂痕举办横向流传。
病毒母体为c.exe,文件编译的时间为11月3号。
对该IP举办追踪,发明该C&C处事器来自于马来西亚。
通过以上信息,我们判定这个C&C处事器极有大概只是黑客一个拿来中转的肉鸡,黑客真正的藏身地并不在此。
流传进程,首先病毒会利用Mimikatz窃取用户根据(这里作者编码的mmkt.exe运行堕落了,所以没有窃取到根据),然后挪用WMIC长途下载执行病毒母体,实现横向流传打单病毒。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。