黑莓安全部發(fā)現(xiàn)PC平臺(tái)的新型“大亨”贖金軟件

近日據(jù)悉，黑莓的安全研究部門(mén)最近發(fā)現(xiàn)了一種新的贖金軟件，影響了歐洲一家教育機(jī)構(gòu)。

黑莓安全部發(fā)現(xiàn)PC平臺(tái)的新型“大亨”贖金軟件

與迄今為止發(fā)現(xiàn)的大多數(shù)贖金軟件不同的是，這種新的贖金軟件模塊被編譯成一種Java圖像文件格式JIMAGE。

下面是攻擊的過(guò)程：

為了在受害者的機(jī)器上實(shí)現(xiàn)持久化，攻擊者使用了一種名為映像劫持Image File Execution Options，IFEO注入的技術(shù)。

IFEO設(shè)置被存儲(chǔ)在Windows注冊(cè)表中，這些設(shè)置給了開(kāi)發(fā)者一個(gè)選項(xiàng)，在目標(biāo)應(yīng)用程序執(zhí)行過(guò)程中，通過(guò)附加調(diào)試應(yīng)用程序來(lái)調(diào)試他們的軟件。

隨后一個(gè)后門(mén)與操作系統(tǒng)的微軟Windows屏幕鍵盤(pán)OSK功能一起執(zhí)行。

攻擊者利用ProcessHacker工具禁用了組織的反惡意軟件解決方案，并更改了活動(dòng)目錄服務(wù)器的密碼。這使得受害者無(wú)法訪(fǎng)問(wèn)他們的系統(tǒng)。

攻擊者的大部分文件都被進(jìn)行了時(shí)間限制，包括Java庫(kù)和執(zhí)行腳本，文件日期時(shí)間戳為2020年4月11日15:16:22

攻擊者執(zhí)行了Java贖金軟件模塊，對(duì)所有文件服務(wù)器進(jìn)行了加密，包括連接到網(wǎng)絡(luò)的備份系統(tǒng)在內(nèi)的所有文件服務(wù)器都進(jìn)行了加密。

在提取出與該贖金軟件相關(guān)的zip文件后，以 "大亨 "為名，共有三個(gè)模塊，黑莓團(tuán)隊(duì)將這個(gè)贖金軟件命名為 "大亨"。【7458001】

（文中圖片來(lái)自互聯(lián)網(wǎng)）