下周计算机病毒预报(2021年4月12日至2021年4月18日)

2021-04-09712

REvil

警惕程度 ★★★

影响平台: Windows 2000/7/8/10/ 95 /98/Me/NT/Server 2003/Server 2008/Vista/XP

病毒执行体描述

REvil勒索软件操作增加了一种新的功能,可以在Windows安全模式下加密文件,这可能会逃避安全软件的检测,并在加密文件时获得更大的成功。

Windows安全模式是一种特殊的启动模式,允许用户在操作系统上运行管理和诊断任务。这种模式只装载操作系统工作所需的最低限度的软件和驱动程序。

此外,安装在Windows中的任何程序如果被配置为自动启动,将不会在安全模式下启动,除非它们的自动运行以某种方式配置。

REvil勒索软件在Windows中自动运行的方法之一是在以下注册表项下创建条目:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

“Run”键将在每次登录时启动一个程序,而“RunOnce”键将只启动一个程序一次,然后从注册表中删除条目。

例如,以下注册表项将在登录到Windows时自动启动C:\Users\test\test.exe程序。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Startup"="C:\Users\test\test.exe"

但是,上面的自动运行将不会在安全模式下启动,除非您像下面这样在值名的开头添加星号(*)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"*Startup"="C:\Users\test\test.exe"

REvil现在包括一个“安全模式”模式

在REvil勒索软件的一个新示例中,添加了一个新的- Mode命令行参数,强制计算机在加密设备之前重启到安全模式。

为了做到这一点,REvil将执行以下命令,当Windows下次重新启动时,强制计算机启动到网络安全模式。

bootcfg /raw /a /safeboot:network /id 1

bcdedit /set {current} safeboot network

然后,它创建一个'RunOnce' autorun称为'*franceisshit',执行'bcdedit /deletevalue {current} safeboot'后,用户登录到安全模式。

最后,勒索软件强制重启Windows,用户不能中断。

就在该流程退出之前,它将创建一个名为“阿斯利康”(AstraZeneca)的额外进程,可能与法国最近关于使用该疫苗的审议有关。

当设备重新启动后,下一个用户登录时,自动运行将重新启动REvil勒索软件,不带- mode参数。

需要注意,这两个“RunOnce”条目将在登录到安全模式后执行,并且将被Windows自动删除。

在重新启动时,设备将在网络的安全模式下启动,用户将被提示登录到Windows。一旦他们登录,REvil勒索软件将在没有- mode参数的情况下执行,这样它就会开始加密设备上的文件。

Windows还将运行'*AstraZeneca'注册表键配置的'bcdedit /deletevalue {current} safeboot'命令,这样当勒索软件完成时,机器可以重新启动进入正常模式。

当REvil加密文件时,安全模式屏幕将是空白的,但仍然可以使用Ctrl+Alt+Delete来启动Windows任务管理器。从这里,您可以看到可执行文件正在运行,在我们的测试中,它名为“mode”。如下所示。

在运行时,勒索软件将阻止用户通过任务管理器启动任何程序,直到它完成加密设备。

一旦设备被加密,它将允许启动序列的其余部分继续进行,桌面将显示赎金便条和加密文件。


预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


BleachGap

警惕程度 ★★★

影响平台: Linux

病毒执行体描述

BleachGap勒索软件具备添加自启动、添加计划任务、改写MBR、使键盘按键失效、通过可移动介质传播等多项功能,采用“AES-256”对称加密算法加密文件,在已知密钥的情况下可快速解密。

 攻击流程

BleachGap勒索软件运行后,释放三个文件,包括“四位随机字符名.bat”、“aescrypt.exe”、“DiscordSendWebhook.exe”到%Temp%路径下。

文件名

路径

功能

四位随机字符名.bat

(以F76D.bat为例)

%Temp%/F76B.tmp/F76C.tmp/

删除系统卷影副本、关闭安全警告、使键盘按键失效、调用其它文件、下载后续攻击载荷、创建自启动项。

aescrypt.exe

%Temp%/F76B.tmp/

执行加密文件的操作。

DiscordSendWebhook.exe

%Temp%/F76B.tmp/

将数据发送到Discord服务器。

批处理脚本将自身复制到%AppData%/Microsoft/Windows/Start Menu/Programs/Startup/目录,并且删除系统卷影副本,以防止恢复加密文件。

为了规避检测,通过修改注册表绕过UAC机制,关闭安全警告,将“用户账户控制设置”设置为“从不通知”。

互换鼠标左右键功能,并且使键盘上的部分按键失效,导致用户在重启系统后无法正常使用。失效的按键键位如下:

为了避免加密过程受到影响,该批处理脚本结束Opera,Chrome,FireFox和Internet Explorer等浏览器进程,并通过PowerShell执行结束任务管理器的“kill.bat”脚本。此外该脚本还会创建计划任务实现用户登录时运行勒索软件样本。

使用自定义算法随机生成一个密钥,调用“aescrypt.exe”采用“AES-256”加密算法来加密%userprofile%和%HOMEDRIVE%路径下的所有文件,在被加密文件的文件名后追加以“.lck”命名的后缀。由于BleachGap勒索软件仅采用AES对称加密算法进行加密,所以在已知加密密钥的前提下,被加密的文件可通过命令“aescrypt.exe -d -p 加密密钥 -o 原文件名 加密文件名”进行解密。

通过PowerShell执行生成勒索信的脚本“p2d.bat”,在桌面创建100个名为“Pay2Decrypt(1-100).txt”的勒索信,勒索信具体内容包含了勒索说明、勒索金额、比特币钱包地址以及联系邮箱。

调用“DiscordSendWebhook.exe”将用户名、加密密钥、个人ID等信息发送到攻击者创建的Discord频道。该频道创建时间为2021年2月6日,与该勒索软件的活跃时间相近,用来记录受害者信息。

访问anonfiles(瑞典的匿名网盘)下载一个名为“gameover.exe”的恶意代码,重命名为“final.exe”保存到%Temp%目录下运行,并且创建计划任务每隔五天运行一次。该恶意代码改写MBR,在开机时锁定计算机。

在每个磁盘的根目录下创建InstallWizard文件夹,将自身复制到该文件夹下并重命名为“Install..bat”。在磁盘根目录下创建“autorun.inf”文件,即使重装系统后清除了系统盘的病毒,但是双击其它磁盘时,病毒又会重新运行。并且当受害者使用U盘启动盘修复MBR时感染U盘,达到U盘传播的目的。


预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。


钓鱼网站提示:

 1、假冒亚马逊类钓鱼网:

https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/

危害:骗取用户邮箱账号及密码信息。

 2、假冒PDF类钓鱼网:

http://www.capelini.com.br/adobeCom/inc/

危害:骗取用户账号及密码信息。

 3、假冒Paypal类钓鱼网:

http://www.skblibrary.org.in/cottonlibrary/a

危害:骗取用户账号及密码信息。

 4、假冒腾讯游戏类钓鱼网站: 

http://www.dnf233.com/

危害:骗取用户信用卡号及密码信息。

 5、假冒Gmail类钓鱼网站

http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/

危害:骗取用户邮箱账号及密码信息。


请勿打开类似上述网站,保持计算机的网络防火墙打开。

以上信息由上海市网络与信息安全应急管理事务中心提供