信息来源:4hou
研究人员近日发现一起新的垃圾邮件活动,垃圾邮件活动会发送收件人所在建筑物的紧急出口图给收件人,紧急出口图同时也被用户安装GandCrab勒索软件。
据Myonlinesecurity.co.uk消息,之前在传播Ursnif银行木马的服务器现在开始推送GandCrab v5.1勒索软件了。
BleepingComputer决定深入分析传播的垃圾邮件和文件,以确定活动的工作原理。
最新的垃圾邮件活动假装发送给接收者所在建筑物的紧急出口图。邮件称来自Rosie L. Ashton,主题是Up to datе еmеrgеnсy еxit map(最新紧急出口图),附件中有一个名为Emergencyexitmap.doc的word文档。
打开附件后,用户可以看到内容Emergency exit map,和弹窗“enable content”。
恶意word文档
如果用户点击Enable Content,word宏就会执行PowerShell脚本在计算机上下载和安装GandCrab v5.1勒索软件。
混淆的宏
从上面可以看出, PowerShell脚本被混淆了,这样就很难看出到底发生了什么。
混淆的word宏
解混淆后,可以看出宏文件会从http://cameraista.com/olalala/putty.exe下载一个名为putty.exe文件,并保存为C:\Windows\temp\putty.exe,然后执行putty.exe。
反混淆的PowerShell脚本
putty.exe可执行文件其实就是GandCrab 5.1,执行后会开始加密计算机上的文件。就像之前的GandCrab一样,GandCrab会继续加密文件并在文件名中加入随机的扩展。
GandCrab 5.1加密的文件
在加密计算机时,GandCrab还会在每个加密的文件夹中创建勒索信息。勒索信息表明GandCrab的版本是v5.1,并给出如何支付赎金的指示。
GandCrab 5.1勒索信息
目前还无法解密GandCrab 5.1加密的文件。这也给我们一个启示就是,不要随便打开邮件中的附件,除非你很清除邮件的发送者以及附件中的内容。研究人员还建议打开附件前使用杀毒软件对文档进行扫描。