电脑装配网

垃圾邮件传播新型FTCode无文件勒索病毒

 人阅读 | 作者xiaolin | 时间:2022-12-18 14:08

目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多,不断有新型的勒索病毒出现,各企业一定要保持高度的重视,大部分勒索病毒是无法解密的,近期国外安全研究人员发现了一款基于PowerShell脚本的勒索病毒FTCode,此勒索病毒主要通过垃圾邮件进行传播。

近日国外某独立恶意软件安全研究人员曝光了一个新型的FTCode PowerShell勒索病毒,如下所示:

此勒索病毒主要通过垃圾邮件进行传播,发送的垃圾邮件会附加一个压缩包,压缩包里面包含一个恶意的DOC文档,从app.any.run上下载到相应DOC样本,打开DOC文件,如下所示:

启动恶意宏代码,相应的文档内容,如下所示:

恶意宏代码,启动PowerShell进程执行脚本,如下所示:

从恶意服务器下载PowerShell脚本执行,服务器URL地址:

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打开恶意服务器脚本,如下所示:

从恶意服务器下载VBS脚本,然后设置计划任务自启动项,如下所示:

相应的计划任务自启动项WindowsApplicationService,如下所示:

恶意服务器URL:hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&,脚本内容,如下所示:

解密后的VBS脚本,是一个PowerShell脚本,如下所示:

再次解密PowerShell脚本之后为一个恶意软件下载器,会下载安装其他恶意软件,内容如下所示:

下载完VBS脚本,设置计划任务之后,FTCode PowerShell恶意脚本会解密内置字符串生成一个RSA加密密钥,如下所示:

删除磁盘卷影,操作系统备份等,如下所示:

然后开始加密文件,对指定的文件后缀进行加密,加密后的文件后缀名FTCODE,如下所示:

加密后的文件,如下所示:

在每个加密的文件目录生成勒索提示信息HTM文件READ_ME_NOW.htm,内容如下所示:

 

 


文章标签:

本文链接:『转载请注明出处』