集后门木马、挖矿脚本、勒索病毒于一身，这个ZIP压缩文件厉害了

Posted 2023-04-18

参考技术A 近日，白帽子黑客Marco Ramilli捕获到了一封“奇特”的恶意电子邮件，其中包含一条链接，一旦点击就会导致一个名为“pik.zip”的压缩文件被下载。之所以说它奇特，是因为包含在这个ZIP文件中的javascript脚本文件采用了西里尔字母进行命名——被命名为“Группа Компаний ПИК подробности заказа”，翻译过来就是“PIK集团公司订单详情”。

需要说明的是，目前使用西里尔字母的文字包括俄语、乌克兰语、卢森尼亚语、白俄罗斯语、保加利亚语、塞尔维亚语和马其顿语等，而PIK恰好就是俄罗斯的一家房地产公司，拥有超过1.4万名员工。也就是说，攻击者显然试图将电子邮件伪装成来自PIK公司，从而借助该公司的声誉开展攻击活动。

Marco Ramilli表示，攻击者使用了多种混淆技术来对该脚本JavaScript进行混淆处理。其中，在感染第一阶段阶段存在两个主要的混淆流：

该脚本最终会释放并执行一个虚假的图像文件“msg.jpg”，该文件实际上是一个经过UPX加壳的Windows PE文件，被用于感染的第二阶段。

在感染的第二阶段，三个额外的模块会被释放并执行：一个后门木马、一个挖矿脚本和一种此前曾被广泛报道过的勒索病毒——Troldesh。

分析表明，第一个被释放的模块（327B0EF4.exe）与Troldesh非常相似。该勒索病毒会在加密目标文件之后对其进行重命名并附加一个“.crypted00000”扩展名。举例来说，当一个名为“1.jp”的文件在被加密之后，其文件名就会被重命名为“hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007”。同时，Troldesh还会篡改计算机桌面的壁纸，以显示勒索信息：

第二个被释放的模块（37ED0C97.exe）是被证实一个名为“nheqminer”的挖矿脚本，被用于挖掘大零币（Zcash，一种加密货币）。

第三个安装被释放的模块（B56CE7B7.exe）则被证实是Heur木马，该木马的主要功能是针对WordPress网站实施暴力破解，曾在2017年被广泛报道。

根据Marco Ramilli的说法，该木马的典型行为与HEUR.Trojan.Win32.Generic非常相似，包括：

一旦该木马安装成功，就会通过暴力破解来寻求弱口令凭证，而一旦发现了弱口令凭证，就将pik.zip复制到这些WordPress网站中。

Marco Ramilli认为，此次攻击活动背后的攻击者显然试图通过多种渠道来牟利——勒索病毒和加密货币挖矿脚本。此外，攻击者还试图通过受感染计算机来暴力破解并控制随机的WordPress网站。这样的攻击活动工作量显然非常大，且很容易被检测到。因此，攻击者不太可能是某个国家黑客组织，而只是一群想要同时通过多种方式来牟利的网络犯罪分子。

比特币电脑勒索病毒预防步骤

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

 

 

由于以前国内多次爆发利用445端口传播的蠕虫，运营商对个人用户已封掉445端口，但是教育网并没有此限制，仍然存在大量暴露445端口的机器。据有关机构统计，目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网是受攻击的重灾区。

 

 

目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁；对于XP、2003等微软已不再提供安全更新的机器，推荐使用“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

在此提醒广大校园网用户：

        1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010。

　　步骤：下载https://technet.microsoft.com/zh-cn/library/security/MS17-010安全补丁，进行安装

　　　　   启用Windows update进行系统更新，当然在更新时会自动安装补丁 ，下面我主要介绍Windows 10 如何开启Windows update？

1.  Windows 10的update已经不在传统的位置了

　      　

      2.单击win10开始菜单，选择settings菜单，还有主么多菜单是英文的，中文的对应设置就好

 

           

 

 

           

 

 

      3.在后续弹出菜单中，选择<更新和恢复>菜单，备份和恢复功能现在也归并在这个菜单下了。

           

      4.进入后左边菜单选择<windows更新>,右边就可以看到能更新的包了，就有新的补丁啦。

    

  

         

          如果右边可以出现更行状态直接更新就可以，如果在更新的时候报错，如下

　　　windows10安装更新时出现一些问题，但我们稍后会重试。如果你继续看到此错误，错误代码是：0x80240439)

 

          报错可以用下面的方法解决：

       1.同时按下Windows键和R键，打开运行，输入services.msc

       2.找到WindowsUpdate服务项，右键选择禁用。

       3.打开c:\\windows，把SoftwareDistribution文件夹重命名为SoftwareDistribution.old
  
       4.按照1和2的步骤开启WindowsUpdate服务，重新检查更新。

　　   至此可以完成 WindowsUpdate，待更新完成后，补丁安装完成

 

　　  2、关闭445、135、137、138、139端口，关闭网络共享，下面我将演示如何关闭端口

           依次打开“控制面板”->“系统和安全”->“windows防火墙”。点击左侧面板上的“高级设置”会出现“高级安全windows防火墙”窗口

 

          

 

         点击左侧的“入站规则”后点击右侧的“新建规则”，选择“端口”：

 

         

 

        “下一步”后选择协议和端口，例如TCP和4000端口：

 

        

 

        “下一步”后选择“阻止连接”：

 

        

 

         下一步，根据需要选择：

 

         

 

          最后，设置名称，点击“完成”：

 

        

 

         之后防火墙默认会启用新建的规则

 

        3、 安装360补丁，直接下载安装即可 

            网址：http://dl.360safe.com/nsa/nsatool.exe

 

　 　4、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开，这个就不多说了

 

　　 5、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

 

　 　6、建议仍在使用windows xp， windows 2003操作系统的用户尽快升级到window 7/windows 10，或windows 2008/2012/2016操作系统。

 

　　 7、安装正版操作系统、Office软件等。

 

        最后希望大家安全度过这段时间！