在黑客的众多牟利手段当中,勒索软件可能是最普遍的一种。这种恶意软件通常会通过受感染的邮件附件、被篡改的网站或网页广告散布。勒索软件会对用户电脑上的文件进行加密,除非受害者交付特定数额的赎金,否则受影响的文件将会一直处于不可用的状态。
最近安全研究人员发现了一种新型恶意勒索软件cuteRansomware,而该恶意勒索软件正在使用谷歌文档工具Google Doc存储受害者的信息,更有趣的事情是,该恶意勒索软件源码在几个月前出现在了GitHub上,该项目名为my-Little-Ransomware,上面显示开发者是中国的工程师马升豪。
该恶意勒索软件主要基于C#语言制作的,与该恶意软件有关的两个项目Hidden Tear以及 EDA2(两者都是恶意软件),已经被土耳其的安全研究员Utku Sen放在了Github上,一段时间之后就有人开始利用my-Little-Ransomware源码开发属于自己的恶意软件,似乎在原版本修改了encryptFile()程序,AVG公司的安全研究人员Jakub Kroustek在6月中旬首次发现了它,他立即指出这一新型勒索软件使用谷歌文档存储其加密密钥。
前一段时间,安全公司Netskope发现了它的变种“ this one cuteRansomware”,虽然基于同一个项目代码,但还是有不同之处,即开发者将cuteRansomware字符串加入到代码中。
安全研究人员刚刚接触该恶意勒索软件就发现,勒索提示内容都是中文,而且软件代码注释也都是中文,这两点反映出目前该恶意勒索软件仅仅针对中国用户,后来AVG公司的安全研究人员还发现新版本恶意勒索软件还将Google Docs作为其c&c 服务器,恶意软件感染目标主机后,生成RSA加密密钥,然后通过HTTPS通道将密匙传至Google Docs。
新版本的勒索软件所针对的加密文件对象变少了,新的文件格式包括.bmp、.png、 .jpg、.zip、.txt、.pdf、.pptx、 .docx、.py、.cpp、 .pcap、.enc、 .pem以及.csr,所有文件后面扩展名都带有.encrypted,值得注意的是图中第一个红框部分,将受害者的信息收集发送到Google Docs。
研究人员对软件进行深层分析时,发现存在一个mutex变量cuteRansomware,并对文件进行加密,在%TEMP%目录下创建一个文本文件,这个主要是受害者在安装恶意软件之后,被用于弹出赎金的提示信息,然后就是之前所述,加密受害者的文件,并生成密匙传至目标服务器,下图是分析受害者与Google Docs之间通信(SSL/TLS)协议。
通过Fiddler代理工具,可以查看连接到Google Docs更多的信息,同时分析SSL流量数据。
CuteRansomware的Google Doc页面
通过这几个月的分析,毫无疑问像这样的攻击已经越来越多,上面修改my-Little-Ransomware源码来进行恶意勒索,攻击者可以利用云服务来作为其C&C服务器,这一点看来,云服务安全性需要越来越引起人们的重视。
====================================分割线================================
本文转自d1net(转载)