集后门木马、挖矿脚本、勒索病毒于一身,这个ZIP压缩文件厉害了

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了集后门木马、挖矿脚本、勒索病毒于一身,这个ZIP压缩文件厉害了相关的知识,希望对你有一定的参考价值。

参考技术A 近日,白帽子黑客Marco Ramilli捕获到了一封“奇特”的恶意电子邮件,其中包含一条链接,一旦点击就会导致一个名为“pik.zip”的压缩文件被下载。之所以说它奇特,是因为包含在这个ZIP文件中的javascript脚本文件采用了西里尔字母进行命名——被命名为“Группа Компаний ПИК подробности заказа”,翻译过来就是“PIK集团公司订单详情”。

需要说明的是,目前使用西里尔字母的文字包括俄语、乌克兰语、卢森尼亚语、白俄罗斯语、保加利亚语、塞尔维亚语和马其顿语等,而PIK恰好就是俄罗斯的一家房地产公司,拥有超过1.4万名员工。也就是说,攻击者显然试图将电子邮件伪装成来自PIK公司,从而借助该公司的声誉开展攻击活动。

Marco Ramilli表示,攻击者使用了多种混淆技术来对该脚本JavaScript进行混淆处理。其中,在感染第一阶段阶段存在两个主要的混淆流:

该脚本最终会释放并执行一个虚假的图像文件“msg.jpg”,该文件实际上是一个经过UPX加壳的Windows PE文件,被用于感染的第二阶段。

在感染的第二阶段,三个额外的模块会被释放并执行:一个后门木马、一个挖矿脚本和一种此前曾被广泛报道过的勒索病毒——Troldesh。

分析表明,第一个被释放的模块(327B0EF4.exe)与Troldesh非常相似。该勒索病毒会在加密目标文件之后对其进行重命名并附加一个“.crypted00000”扩展名。举例来说,当一个名为“1.jp”的文件在被加密之后,其文件名就会被重命名为“hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007”。同时,Troldesh还会篡改计算机桌面的壁纸,以显示勒索信息:

第二个被释放的模块(37ED0C97.exe)是被证实一个名为“nheqminer”的挖矿脚本,被用于挖掘大零币(Zcash,一种加密货币)。

第三个安装被释放的模块(B56CE7B7.exe)则被证实是Heur木马,该木马的主要功能是针对WordPress网站实施暴力破解,曾在2017年被广泛报道。

根据Marco Ramilli的说法,该木马的典型行为与HEUR.Trojan.Win32.Generic非常相似,包括:

一旦该木马安装成功,就会通过暴力破解来寻求弱口令凭证,而一旦发现了弱口令凭证,就将pik.zip复制到这些WordPress网站中。

Marco Ramilli认为,此次攻击活动背后的攻击者显然试图通过多种渠道来牟利——勒索病毒和加密货币挖矿脚本。此外,攻击者还试图通过受感染计算机来暴力破解并控制随机的WordPress网站。这样的攻击活动工作量显然非常大,且很容易被检测到。因此,攻击者不太可能是某个国家黑客组织,而只是一群想要同时通过多种方式来牟利的网络犯罪分子。

比特币电脑勒索病毒预防步骤

根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

 

 

由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。

 

 

目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁;对于XP、2003等微软已不再提供安全更新的机器,推荐使用“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。

在此提醒广大校园网用户:

        1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010

  步骤:下载https://technet.microsoft.com/zh-cn/library/security/MS17-010安全补丁,进行安装

       启用Windows update进行系统更新,当然在更新时会自动安装补丁 ,下面我主要介绍Windows 10 如何开启Windows update?

  1.  Windows 10的update已经不在传统的位置了

        win10自动更新在哪里:windows update

      2.单击win10开始菜单,选择settings菜单,还有主么多菜单是英文的,中文的对应设置就好

 
           win10自动更新在哪里:windows update
 
 
           
 
 
      3.在后续弹出菜单中,选择<更新和恢复>菜单,备份和恢复功能现在也归并在这个菜单下了。
           win10自动更新在哪里:windows update
      4.进入后左边菜单选择<windows更新>,右边就可以看到能更新的包了,就有新的补丁啦。
    
  

         

          如果右边可以出现更行状态直接更新就可以,如果在更新的时候报错,如下

   windows10安装更新时出现一些问题,但我们稍后会重试。如果你继续看到此错误,错误代码是:0x80240439)

 

          报错可以用下面的方法解决:

       1.同时按下Windows键和R键,打开运行,输入services.msc

2.找到WindowsUpdate服务项,右键选择禁用。

3.打开c:\\windows,把SoftwareDistribution文件夹重命名为SoftwareDistribution.old

4.按照1和2的步骤开启WindowsUpdate服务,重新检查更新。

     至此可以完成 WindowsUpdate,待更新完成后,补丁安装完成

 

    2、关闭445、135、137、138、139端口,关闭网络共享,下面我将演示如何关闭端口

           依次打开“控制面板”->“系统和安全”->“windows防火墙”。点击左侧面板上的“高级设置”会出现“高级安全windows防火墙”窗口

 

          

 

         点击左侧的“入站规则”后点击右侧的“新建规则”,选择“端口”:

 

         

 

        “下一步”后选择协议和端口,例如TCP和4000端口:

 

        

 

        “下一步”后选择“阻止连接”:

 

        

 

         下一步,根据需要选择:

 

         

 

          最后,设置名称,点击“完成”:

 

        

 

         之后防火墙默认会启用新建的规则

 

        3、 安装360补丁,直接下载安装即可 

            网址:http://dl.360safe.com/nsa/nsatool.exe
 

   4、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开,这个就不多说了

 

   5、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。

 

   6、建议仍在使用windows xp, windows 2003操作系统的用户尽快升级到window 7/windows 10,或windows 2008/2012/2016操作系统。

 

   7、安装正版操作系统、Office软件等。

 

        最后希望大家安全度过这段时间!

 

以上是关于集后门木马、挖矿脚本、勒索病毒于一身,这个ZIP压缩文件厉害了的主要内容,如果未能解决你的问题,请参考以下文章

网络安全之认识挖矿木马

比特币电脑勒索病毒预防步骤

病毒分类

为啥老是有win32.troj.undef这个病毒?????

Libre Office,一个集美貌与才华于一身的软件

记一次window服务器木马排查(后门植入挖矿程序)