信息來源:cnBeta
研究人員發(fā)現(xiàn)了FTCODE勒索軟件的更新版本���,這一次看起來作者似乎將更多的精力放在了密碼竊取功能上。ThreatLabZ團隊進行的分析表明�����,該惡意軟件專門針對說意大利語的Windows用戶���,并且最新版本(檢測為1117.1)采用VBScript下載方法進行更復(fù)雜的攻擊����。
攻擊者使用電子郵件將勒索軟件傳播到潛在目標(biāo)�,惡意電子郵件包括受感染的文檔和VBScript,它們在執(zhí)行時運行會觸發(fā)勒索軟件感染的PowerShell腳本��。該腳本首先將誘餌圖像下載到%temp%文件夾中��,并試圖誘使用戶相信他們只是收到了圖像�,然后在后臺下載并運行勒索軟件。
該惡意軟件試圖通過在Windows啟動文件夾中創(chuàng)建一個名為WindowsIndexingService.lnk的快捷方式來獲得持久運行能力���。此外���,它還會創(chuàng)建一個計劃任務(wù)�,稱為WindowsApplicationService�,快捷方式和計劃任務(wù)都共同指向惡意的WindowsIndexingService.vbs腳本。
一旦設(shè)備被感染���,勒索軟件就會對多種文件格式進行加密����,F(xiàn)TCODE使用GUID生成密碼��,并生成較早的隨機字符集�����。它使用Rijndael對稱密鑰加密來加密上述每個擴展文件的40960字節(jié)���。初始化向量基于11個隨機生成的字符,并在根文件夾中放入名為“READ_ME_NOW.htm”的勒索注釋�����。
完成準(zhǔn)備后,勒索軟件會指示用戶下載Tor瀏覽器并訪問鏈接���,在該鏈接上�����,他們需要付費才能使用解密密鑰來解鎖文件�����。
除了加密文件之外����,勒索軟件還從包括Internet Explorer���,Mozilla Firefox�,Mozilla Thunderbird��,Google Chrome和Microsoft Outlook在內(nèi)的流行瀏覽器和電子郵件客戶端中竊取憑據(jù)�。勒索軟件可以掃描這些應(yīng)用程序存儲憑據(jù)的默認(rèn)位置,提取數(shù)據(jù)�,然后將其上傳到惡意軟件作者把控的服務(wù)器。
