IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

小心啦!敲诈者病毒Locky家族出现新变种thor

发布时间:2016-11-21 13:36文章来源:安全客文章作者: 360天眼实验室点击次数:
近日,360天眼实验室发现,敲诈者病毒Locky家族出现新变种thor,被病毒加密后的文件后缀为.thor。 Locky最早出现于2016年年初【 敲诈者病毒Locky编年史 】,此后经历多次变种,包括6月27日的zepto变种,9月28日的Odin变种,本次的新变种为thor主要通过包含JS

  近日,360天眼实验室发现,敲诈者病毒Locky家族出现新变种thor,被病毒加密后的文件后缀为.thor。

  Locky最早出现于2016年年初【敲诈者病毒Locky编年史】,此后经历多次变种,包括6月27日的zepto变种,9月28日的Odin变种,本次的新变种为thor主要通过包含JS、VBS的钓鱼邮件进行传播,JS/VBS脚本从网络上下载勒索软件,通过rundll32.exe带指定启动参数进行加载。样本执行后在内存中解密执行,解密后才是真正的恶意功能代码。勒索软件会对系统中的文件进行扫描,对指定扩展名的文件进行加密操作,加密后的文件后缀被改为.thor,加密完成后电脑桌面图片上显示勒索信息提示用户交解密赎金。

  具体的攻击流程是:攻击者使用带有恶意附件的邮件进行钓鱼攻击,用户在点击了附件中的VBS脚本文件后,VBS脚本文件负责从网络上下载敲诈者病毒,通过rundll32.exe并带指定启动参数进行加载。样本执行后在内存中解密执行,解密后才是真正的功能代码。敲诈者病毒会对系统中的文件进行扫描,对磁盘上指定类型的文件进行加密,被样本加密后的文件后缀为.thor。样本加密文件所使用的密钥为随机生成,加密算法为AES-CBC-256,用样本内置的RSA公钥,通过RSA-1024算法对随机生成的AES加密密钥进行加密处理。

  显示的勒索信息如下:


  Locky新变种攻击细节分析


  1、钓鱼邮件

  用户首先会收到一封钓鱼邮件,邮件信息如下所示,附件中的ZIP文件解压后为一个VBS脚本。

  2、VBS脚本分析

  第二步,我们对VBS脚本进行分析发现,VBS脚本加入了一些无关的注释:


小心啦!敲诈者病毒Locky家族出现新变种thor
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/News/anquan/562987.html

标签分类:

上一篇:上一篇:谷歌工程师:杀毒软件根本没什么用
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量