查看: 1353|回复: 1
收起左侧

[分享] 【瑞星】Dablio——具有潜在威胁的勒索病毒

[复制链接]
bambooslip
发表于 2018-12-14 19:58:38 | 显示全部楼层 |阅读模式
病毒简介
2018年12月,安全研究院发现一款由python语言编写的勒索软件Dablio,它的代码与两年前的HolyCrypt有些类似,该勒索软件似乎还在开发测试中,没有完全部署分发基础设施。和其他勒索软件类似,Dablio会加密doc、xls、ppt、iso等几十种文件,加密完成后会弹出窗口,包含赎金说明,描述您的文件发生了什么,以及如何支付赎金获取密钥解密文件。
它可以通过在RDP未受保护的配置打破,使用电子邮件,垃圾邮件和恶意附件,欺诈下载,僵尸网络,攻击,网站内喷射,假更新传播,重新包装感染的安装程序。
病毒攻击视频查杀病毒视频拦截病毒视频病毒分析
病毒伪装成chrome谷歌浏览器,实际是python语言编写的勒索病毒,打包成EXE文件
反编译成功后可以看到病毒源代码,如下:
准备工作
病毒运行后,首先删除所有数据备份,防止通过本地恢复
在C:\\Windows\\SoftwareDistribution\\Download目录下创建病毒副本
图-创建副本
加密文件
遍历磁盘,对以下后缀文件进行加密
图-加密的文件后缀
该勒索病毒使用了AES-256算法进行加密
Key为定义的字符串的哈希值
文件大小和AES初始化向量IV被写在文件头
文件被加密,文件名前面被追加了(encrypted) 12个字符,如下所示:
图-被加密的文件
加密完成后,弹出勒索窗口,提示受害者文件已经被加密,需要通过购买比特币进行解密:
图-勒索窗口
解密文件
因为该病毒使用了AES对称加密算法,key被硬编码到病毒文件中,因此被加密的文件是可以解密的
解密代码有一处错误,只可解密部分,修正代码后可以正确进行解密
图-解密对比
图-解密代码
IOCsMD5:
CD4B864A78DA9FD674F099EC1703DBB9
Email:
dablio@tuta.io
Ransom Notes:#DABLIOGood Morning. Good afternoon. Good evening.I'm sorry to inform you that your computer was ENCRYPTED.ALL YOUR FILES WERE COMMITTED.PAY TO HAVE YOUR FILES IN NORMAL CONDITION.DO NOT WORRY! EVERYTHING WILL BE BACK.ACCESS THE WEBSITE WWW.LOCALBITCOIN.COM AND MAKE THE PURCHASE OFTHE BITCOINAND TRANSFER OF THE BITCOIN TO MY WALLET.AFTER WE SEND UNLOCK CODE OF YOUR FILES.THANKS;                                                  Email:dablio@tuta.ioCry Now. Laugh Later.Encrypts files with the following extensions:.jpg  .jpeg  .bmp .gif  .png  .svg  .psd  .raw        .mp3  .mp4  .m4a  .aac  .ogg  .flac  .wav  .wma  .aiff  .ape  .avi  .flv  .m4v  .mkv  .mov  .mpg  .mpeg  .wmv  .swf .3gp  .doc  .docx  .xls  .xlsx  .ppt  .pptx  .odt  .odp  .ods  .txt  .rtf  .tex  .pdf  .epub .md  .yml  .yaml  .json  .xml  .csv  .db  .sql  .dbf  .mdb  .iso防御措施
  • 不要使用弱口令账号密码,要将系统的密码设置为复杂密码
  • 尽量关闭不必要的文件共享和端口,如:445,135,139等
  • 不打开来源不明的邮件附件,防止病毒通过钓鱼邮件攻击
  • 及时安装系统补丁,防止病毒通过漏洞植入
  • 安装杀毒软件开启防护,拦截查杀病毒
  • 安装勒索病毒防御软件,防止重要文件被加密
  • 对重要的文件进行定期备份

AppleBug
发表于 2018-12-20 14:12:44 | 显示全部楼层
我电脑上装了360卫士,还装了腾讯管家杀毒,应该可以避免吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 08:43 , Processed in 0.142932 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表