FTCODE 勒索软件再升级 现在会加密系统文件并窃取浏览器密码

研究人员发现了 FTCODE 勒索软件的更新版本,这一次看起来作者似乎将更多的精力放在了密码窃取功能上。ThreatLabZ 团队进行的分析表明,该恶意软件专门针对说意大利语的 Windows 用户,并且最新版本(检测为 1117.1)采用 VBScript 下载方法进行更复杂的攻击。

FTCODE 勒索软件再升级 现在会加密系统文件并窃取浏览器密码

攻击者使用电子邮件将勒索软件传播到潜在目标,恶意电子邮件包括受感染的文档和 VBScript,它们在执行时运行会触发勒索软件感染的 PowerShell 脚本。该脚本首先将诱饵图像下载到%temp%文件夹中,并试图诱使用户相信他们只是收到了图像,然后在后台下载并运行勒索软件。

该恶意软件试图通过在 Windows 启动文件夹中创建一个名为 WindowsIndexingService.lnk 的快捷方式来获得持久运行能力。此外,它还会创建一个计划任务,称为 WindowsApplicationService,快捷方式和计划任务都共同指向恶意的 WindowsIndexingService.vbs 脚本。

一旦设备被感染,勒索软件就会对多种文件格式进行加密,FTCODE 使用 GUID 生成密码,并生成较早的随机字符集。它使用 Rijndael 对称密钥加密来加密上述每个扩展文件的 40960 字节。初始化向量基于 11 个随机生成的字符,并在根文件夹中放入名为“READ_ME_NOW.htm”的勒索注释。

完成准备后,勒索软件会指示用户下载 Tor 浏览器并访问链接,在该链接上,他们需要付费才能使用解密密钥来解锁文件。

除了加密文件之外,勒索软件还从包括 Internet Explorer,Mozilla Firefox,Mozilla Thunderbird,Google Chrome 和 Microsoft Outlook 在内的流行浏览器和电子邮件客户端中窃取凭据。勒索软件可以扫描这些应用程序存储凭据的默认位置,提取数据,然后将其上传到恶意软件作者把控的服务器。

文章来源:cnBeta

猜你喜欢
美政府网站遭伊黑客入侵 页面挂特朗普遭拳击图片央视曝光:同盾科技、聚信立涉嫌非法获利超 10 亿!美击杀伊朗二号人物,美伊“网络战”一触即发!
如何黑掉一台根本不联网的电脑网上卖“大片”,非法获利超 10 万!涉嫌侵权案告破!
国家信息中心联合瑞星发布《2019 年中国网络安全报告》
特朗普炮轰苹果:帮了你那么多 你连个杀人犯手机都不愿解锁
Win7 停更当天,有黑客来“捣乱”!
将 400 万路由器地址“劫持”至黄赌网站,嫌犯狼狈被捕!

打脸!自研国产编程语言“木兰”实则换皮 Python?!

黑客泄露了超 50W 台服务器,路由器和 IoT 设备的密码

FTCODE 勒索软件再升级 现在会加密系统文件并窃取浏览器密码

FTCODE 勒索软件再升级 现在会加密系统文件并窃取浏览器密码你点的每个赞,我都认真当成了喜欢

来源链接:mp.weixin.qq.com