查看: 3834|回复: 5
收起左侧

[分享] 疑似借助畅捷通某款软件的勒索攻击爆发 火绒安全可查杀

[复制链接]
火绒工程师
发表于 2022-8-29 21:16:46 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2022-9-7 13:46 编辑

火绒安全实验室监测,疑似借助畅捷通某款软件传播的勒索病毒模块异常活跃(FakeTplus病毒)。火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的畅捷通某款软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。
火绒安全查杀图

排查发现,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被AES算法加密的)。之后通过后门模块在内存中加载执行勒索病毒,根据火绒威胁情报系统统计得出病毒传播趋势,如下图所示:

FakeTplus病毒传播趋势图

在被投毒的现场中可以看到,后门病毒模块位于畅捷通某款软件的bin目录中,相关文件情况如下图所示:
被投毒现场后门病毒模块文件位置情况

某被投毒现场中,后门病毒模块的被投放时间,与受害用户使用的畅捷通某款软件模块升级时间相近,畅捷通某款软件更新的文件和恶意模块的时间对比图,如下图所示:

时间对比图

被勒索后,需要支付0.2个比特币(目前大概27439人民币),黑客留下的勒索信,如下图所示:
勒索信

后门模块代码逻辑

附录
病毒 HASH:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xndd
发表于 2022-8-30 08:58:29 | 显示全部楼层
勒索病毒最可恶,抓到了直接判死刑
你开心就好
发表于 2022-8-30 09:08:58 | 显示全部楼层
xndd 发表于 2022-8-30 08:58
勒索病毒最可恶,抓到了直接判死刑

你自己觉得可能么? 最多就是个非法入侵计算机系统罪
xndd
发表于 2022-8-30 09:21:55 | 显示全部楼层
你开心就好 发表于 2022-8-30 09:08
你自己觉得可能么? 最多就是个非法入侵计算机系统罪

那我就放心了
Jirehlov1234
发表于 2022-8-30 22:00:10 | 显示全部楼层
微步那边反馈是有RCE 0day
00006666
发表于 2022-8-30 23:04:19 | 显示全部楼层
任意文件上传0day漏洞,不是供应链污染。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 18:06 , Processed in 0.135015 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表