黑客通过远程桌面服务安装的恶意软件

MalwareHunterTeam本周发现了两个新的Matrix Ransomware变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。

根据勒索软件执行时显示的调试消息以及BleepingComputer论坛中的各种报告,该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。
两种不同的变体正在分发

目前有两种不同的Matrix版本正在发布。这两种变体都安装在黑客RDP上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。

这些差异如下所述。

变体1:[Files 4463@tuta.io]

这种由[Files4463@tuta.io]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。

encrypting-screen

debug

当文件被加密时,它会加密文件名,然后附加[RestorFile@tutanota.com]扩展名。 例如,test.jpg会被加密并重命名为0ytN5eEX-RKllfjug。[Files4463@tuta.io]。

encrypted-folder-1

该变体还会在每个扫描的文件夹中放置命名为!ReadMe_To_Decrypt_Files!.rtf的赎金记录。 该赎金说明包含用于联系攻击者并进行赎金支付的Files4463@tuta.io,Files4463@protonmail.ch和Files4463@gmail.com电子邮件地址。

ransom-note

该变体还将桌面背景更改为以下图像。

background

不幸的是,Matrix Ransomware的这种变体无法免费解密。
变体2:[RestorFile@tutanota.com]

第二个变体通过使用[RestorFile@tutanota.com]扩展名来标识。

虽然这个变体的操作方式与前一个类似,但它有点更先进,因为它具有更好的调试消息,并且在加密完成后利用cipher命令覆盖计算机上的所有可用空间。 此外,该变体使用不同的联系人电子邮件地址,不同的扩展名和不同的赎金票据名称。

当这个变体正在运行时,它将利用下列窗口显示感染的状态。 请注意,与前一个版本相比,此版本中显示的日志记录更多。

matrix

network-scanner

当文件被加密时,它将加密文件名,然后附加[RestorFile@tutanota.com]扩展名到它。 例如,test.jpg会被加密并重新命名为0ytN5eEX-RKllfjug [RestorFile@tutanota.com]。

此变体还会在每个扫描的文件夹中放置名为#Decrypt_Files_ReadMe#.rtf的赎金备注。 该赎金说明包含用于联系攻击者并进行赎金支付的RestorFile@tutanota.com,RestoreFile@protonmail.com和RestoreFile@qq.com电子邮件地址。

它还会将桌面背景更改为以下图像。

wallpaper

在此变体完成加密计算机后,它将执行“cipher.exe / w:c”命令以覆盖C:驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。

cipher

不幸的是,像以前的版本一样,这个版本不能免费解密。
如何保护您免受Matrix Ransomware的侵害

为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。

由于Matrix Ransomware可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到Internet。而应将运行远程桌面的计算机放在VPN后面,以便只有那些在您的网络上拥有VPN帐户的人才能访问它们。

设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。

您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式检测。例如,Emsisoft反恶意软件和Malwarebytes反恶意软件都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。

最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤:

  • 备份,备份,备份!
  • 如果您不知道是谁发送的,请不要打开附件。
  • 直到您确认该人实际寄给您的附件才开启附件,
  • 使用VirusTotal等工具扫描附件。
  • 确保所有的Windows更新一旦出来就安装好! 另外请确保您更新所有程序,特别是Java,Flash和Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。
  • 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。
  • 使用硬密码并且不要在多个站点重复使用相同的密码。

IOCs
Hashes:

Variant 1: a26087bb88d654cd702f945e43d7feebd98cfc50531d2cdc0afa2b0437d25eea
Variant 2: 996ea85f12a17e8267dcc32eae9ad20cff44115182e707153006162711fbe3c9

Associated Files:

#Decrypt_Files_ReadMe#.rtf
!ReadMe_To_Decrypt_Files!.rtf

Ransom Note Text:

WHAT HAPPENED WITH YOUR FILES?
Your documents, databases, backups, network folders and other important files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
It mеаns thаt yоu will nоt bе аblе tо аccеss thеm аnуmоrе until thеу аrе dесrуptеd with yоur pеrsоnаl dесrуptiоn kеy! Withоut уоur pеrsоnаl kеy аnd sреciаl sоftwаrе dаtа rеcоvеrу is impоssiblе! If yоu will fоllоw оur instruсtiоns, wе guаrаntее thаt yоu cаn dесryрt аll yоur filеs quiсkly аnd sаfеly!
If yоu wаnt tо rеstоrе yоur filеs, plеаsе writе us tо thе е-mаils:
Files4463@tuta.io
Files4463@protonmail.ch
Files4463@gmail.com
In subjеct linе оf your mеssаgе writе yоur pеrsоnаl ID:
4292D68970C047D9
Wе rесоmmеnd yоu tо sеnd yоur mеssаgе ОN ЕАСH оf ОUR 3 ЕМАILS, duе tо thе fасt thаt thе mеssаgе mау nоt rеаch thеir intеndеd rеcipiеnt fоr а vаriеtу оf rеаsоns!
Plеаsе, writе us in Еnglish оr usе prоfеssiоnаl trаnslаtоr!
If yоu wаnt tо rеstоrе yоur filеs, yоu hаvе tо pаy fоr dесrуptiоn in Bitсоins. Thе pricе dереnds оn hоw fаst уоu writе tо us.
Your message will be as confirmation you are ready to pay for decryption key. After the payment you will get the decryption tool with instructions that will decrypt all your files including network folders.
Tо cоnfirm thаt wе cаn dесryрt yоur filеs yоu cаn sеnd us up tо 3 filеs fоr frее dесrурtiоn. Plеаsе nоte thаt filеs fоr frее dесrурtiоn must NОT cоntаin аnу vаluаblе infоrmаtiоn аnd thеir tоtаl sizе must bе lеss thаn 5Mb.
Yоu hаvе tо rеspоnd аs sооn аs pоssiblе tо еnsurе thе rеstоrаtiоn оf yоur filеs, bеcаusе wе wоnt kееp yоur dеcrуptiоn kеys аt оur sеrvеr mоre thаn оne wееk in intеrеst оf оur sеcuritу.
Nоtе thаt аll thе аttеmpts оf dесryptiоn by yоursеlf оr using third pаrty tооls will rеsult оnly in irrеvосаble lоss оf yоur dаtа.

If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 6 hours, рlеаsе сhеck SРАМ fоldеr!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 12 hours, рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе!
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 24 hours (еvеn if уоu hаvе prеviоuslу rесеivеd аnswеr frоm us), рlеаsе trу tо sеnd уоur mеssаgе with аnоthеr еmаil sеrviсе tо еасh оf оur 3 еmаils!
Аnd dоn’t fоrgеt tо chеck SPАМ fоldеr!

Associated Email addresses:

RestorFile@tutanota.com,
RestoreFile@protonmail.com
RestoreFile@qq.com
Files4463@tuta.io
Files4463@protonmail.ch
Files4463@gmail.com

原文:https://www.bleepingcomputer.com/news/security/new-matrix-ransomware-variants-installed-via-hacked-remote-desktop-services/

上一篇:Auth0身份验证平台中发现身份验证绕过漏洞

下一篇:2018 C3安全峰会即将开启 全球顶级大咖尽展巅峰绝技