黑莓安全部發(fā)現(xiàn)PC平臺的新型“大亨”贖金軟件

近日據(jù)悉，黑莓的安全研究部門最近發(fā)現(xiàn)了一種新的贖金軟件，影響了歐洲一家教育機構(gòu)。

黑莓安全部發(fā)現(xiàn)PC平臺的新型“大亨”贖金軟件

與迄今為止發(fā)現(xiàn)的大多數(shù)贖金軟件不同的是，這種新的贖金軟件模塊被編譯成一種Java圖像文件格式JIMAGE。

下面是攻擊的過程：

為了在受害者的機器上實現(xiàn)持久化，攻擊者使用了一種名為映像劫持Image File Execution Options，IFEO注入的技術(shù)。

IFEO設(shè)置被存儲在Windows注冊表中，這些設(shè)置給了開發(fā)者一個選項，在目標應(yīng)用程序執(zhí)行過程中，通過附加調(diào)試應(yīng)用程序來調(diào)試他們的軟件。

隨后一個后門與操作系統(tǒng)的微軟Windows屏幕鍵盤OSK功能一起執(zhí)行。

攻擊者利用ProcessHacker工具禁用了組織的反惡意軟件解決方案，并更改了活動目錄服務(wù)器的密碼。這使得受害者無法訪問他們的系統(tǒng)。

攻擊者的大部分文件都被進行了時間限制，包括Java庫和執(zhí)行腳本，文件日期時間戳為2020年4月11日15:16:22

攻擊者執(zhí)行了Java贖金軟件模塊，對所有文件服務(wù)器進行了加密，包括連接到網(wǎng)絡(luò)的備份系統(tǒng)在內(nèi)的所有文件服務(wù)器都進行了加密。

在提取出與該贖金軟件相關(guān)的zip文件后，以 "大亨 "為名，共有三個模塊，黑莓團隊將這個贖金軟件命名為 "大亨"?！?458001】

（文中圖片來自互聯(lián)網(wǎng)）