安全动态

含有紧急出口图的垃圾邮件推送GandCrab勒索软件

来源:聚铭网络    发布时间:2019-01-27    浏览次数:
 

信息来源:4hou

研究人员近日发现一起新的垃圾邮件活动,垃圾邮件活动会发送收件人所在建筑物的紧急出口图给收件人,紧急出口图同时也被用户安装GandCrab勒索软件。

据Myonlinesecurity.co.uk消息,之前在传播Ursnif银行木马的服务器现在开始推送GandCrab v5.1勒索软件了。

BleepingComputer决定深入分析传播的垃圾邮件和文件,以确定活动的工作原理。

最新的垃圾邮件活动假装发送给接收者所在建筑物的紧急出口图。邮件称来自Rosie L. Ashton,主题是Up to datе еmеrgеnсy еxit map(最新紧急出口图),附件中有一个名为Emergencyexitmap.doc的word文档。

打开附件后,用户可以看到内容Emergency exit map,和弹窗“enable content”。

恶意word文档

如果用户点击Enable Content,word宏就会执行PowerShell脚本在计算机上下载和安装GandCrab v5.1勒索软件。

混淆的宏

从上面可以看出, PowerShell脚本被混淆了,这样就很难看出到底发生了什么。

混淆的word宏

解混淆后,可以看出宏文件会从http://cameraista.com/olalala/putty.exe下载一个名为putty.exe文件,并保存为C:\Windows\temp\putty.exe,然后执行putty.exe。

反混淆的PowerShell脚本

putty.exe可执行文件其实就是GandCrab 5.1,执行后会开始加密计算机上的文件。就像之前的GandCrab一样,GandCrab会继续加密文件并在文件名中加入随机的扩展。

GandCrab 5.1加密的文件

在加密计算机时,GandCrab还会在每个加密的文件夹中创建勒索信息。勒索信息表明GandCrab的版本是v5.1,并给出如何支付赎金的指示。

GandCrab 5.1勒索信息

目前还无法解密GandCrab 5.1加密的文件。这也给我们一个启示就是,不要随便打开邮件中的附件,除非你很清除邮件的发送者以及附件中的内容。研究人员还建议打开附件前使用杀毒软件对文档进行扫描。

 
 

上一篇:顺风车 抢红包 互联网上的春节近了

下一篇:2019年01月27日 聚铭安全速递