安基網 首頁 資訊 安全報 查看內容

中招等于沒了幾十萬美刀!PwndLocker勒索軟件修復漏洞后卷土重來

2020-4-1 17:00| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 在本月初,美國科技媒體BleepingComputer公開披露了一種名為“PwndLocker”的新型勒索病毒。據稱,此勒索病毒的感染對象主要是企業網絡,索取的贖金在17.5萬美元到66萬美元之間。幸運的是,ID Ransomware的Michael Gillespie和Emsisoft的Fabian Wosar很快就發現了此勒索病毒的一個漏洞,并在此基礎之上 ...

在本月初,美國科技媒體BleepingComputer公開披露了一種名為“PwndLocker”的新型勒索病毒。據稱,此勒索病毒的感染對象主要是企業網絡,索取的贖金在17.5萬美元到66萬美元之間。

幸運的是,ID Ransomware的Michael Gillespie和Emsisoft的Fabian Wosar很快就發現了此勒索病毒的一個漏洞,并在此基礎之上構建了一個能夠幫助受害者企業在無需支付贖金的情況下就可以恢復被加密文件的解密程序。

PwndLocker卷土重來,更名為“ProLock”

在初次嘗試失敗之后,PwndLocker的開發人員似乎并沒有因此放棄。相反,他們已經成功修復了存在的漏洞,并將修復后的PwndLocker更名為了“ProLock”,重新向企業網絡發起攻擊。

根據Sophos研究人員PeterM的說法,新的ProLock勒索軟件目前主要通過一個名為“WinMgr.bmp”的文件進行傳播。該文件通常存儲在“C:ProgramData”文件夾下,而勒索軟件可執行文件就嵌入此BMP文件中。

在圖片查看器中打開此BMP文件,除了一片漆黑和右上角的幾個小點,你將看不到其他任何圖像。

圖1.在圖片查看器中打開WinMgr.bmp

但如果你在十六進制編輯器打開它,則可以看到它還包含了一些二進制數據。

圖2. 在十六進制編輯器中打開WinMgr.bmp

分析表明,這些二進制數據將被一個PowerShell腳本重新組合,然后注入內存。

圖3.PowerShell腳本

ProLock的加密方法

執行后,ProLock首先會清除計算機上的卷影副本。

vssadmin.exe delete shadows /all /quiet

vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=401MB

vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=unbounded

然后,它將加密計算機上除包含如下擴展名之外的所有文件。

.exe, .dll, .lnk, .ico, .ini, .msi, .chm, .sys, .hlf, .lng, .inf, .ttf, .cmd, .bat, .vhd, .bac, .bak, .wbc, .bkf, .set, .win, .dsk

文件在被加密后,將多出一個.proLock擴展名。例如,1.doc在被加密后,將被重命名為1.doc.proLock。

圖4.被加密文件示例

最后,ProLock將在每一個被加密文件所在的文件夾中創建一個名為“[HOW TO RECOVER FILES].TXT”的贖金票據,其中包含有關如何連接到Tor以獲取付款信息的說明。

圖5.ProLock贖金票據

與PwndLocker一樣,ProLock索取的贖金金額依舊很高——80比特幣(約價值47萬美元)。

圖6.ProLock勒索軟件Tor付款站點

結語

如上所述,PwndLocker/ProLock的開發者已經修復了存在的漏洞,這也就使得免費解密成為了不可能。

我們再次提醒企業用戶,請一定要建立起數據備份制度并嚴格執行。如此一來,即使是感染了勒索軟件,我們也可以從備份中恢復或重建文件。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6807323243674862084/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 好运快三计划 吉利平肖平码论坛网址 北京快乐8是正规的吗 资产配置4321原则 内蒙快三开奖结果走势 快乐十分前三直走势图 中国福彩网是不是合法 短线股票哪个好 河北排列7开奖号码 现在炒股行情怎么样