http://p3.qhimg.com/t01c64b5a018041db13.jpg

恶意勒索软件CryptoWall家族的第四个成员CryptoWall 4.0刚刚发布,给我们带来了一些新功能和一个全新的面貌。

我们在最近的报道中提到,CryptoWall 3.0造成了$ 3.25亿的年度损失。 第一版CryptoWall在2014年4月诞生,它的第一次重大升级是CryptoWall 2.0,在2014年10月发布。CryptoWall 3.0在2015年1月发布并在全球范围内引起恐慌。现在,2015年11月,CryptoWall 4.0也亮相了。

新功能

在CryptoWall家族的第4个成员中有一些新的功能,如加密受感染的文件的名字和拓展名。此外,CryptoWall 4.0还将其勒索信命名改为HELP_YOUR_FILES.TXTand HELP_YOUR_FILES.HTML。

该勒索信本身包括付款说明,还有一些嘲笑用户的话。

 

http://p7.qhimg.com/t014f2d230d7b7952b0.jpg

传播方式

最初报道中的样本是在 Bleeping Computer论坛上被感染的用户提供的,网络钓鱼是通过附有自称简历的ZIP压缩包附件的电子邮件传播的。 ZIP压缩包中的文件是一个JavaScript文件,这使得用户从有效负载为硬编码的URL 上下载了一个进行过模糊处理和美化的CryptoWall 4.0。

https://static.jiayezz.com/12/27d4012461903f15655c36bf44d963

 

但是,漏洞工具很有可能将很快开始使用CW4作为有效载荷(特别是Angler EK)。

技术信息 

CryptoWall 4.0有效载荷的C&C的通讯和活动行为和它的早期版本颇为相似。我们已经分析样本并进行了以下操作,具体见下图。

关联域

https://static.jiayezz.com/05/d05a80e3451bf8634de075780f6f3b

https://static.jiayezz.com/09/2d292baba0eabeff1595b8baa0e66f

添加文件

https://static.jiayezz.com/2f/b179dc52eca40ece0163975074d2af

删除文件

https://static.jiayezz.com/c4/3ad8ba6f5a487759edb7555737e78e

修改文件

https://static.jiayezz.com/c2/65dcf23ed2fb496c5079d80fd7745f

添加注册表项

https://static.jiayezz.com/41/52b80cd6c1df3f83ea14fb7499f93d

进程树

·         INITIAL SAMPLE
o    exe
§  exe -k netsvcs
§  EXE “C:UsersAdministratorDesktopHELP_YOUR_FILES.TXT”
§  exe “C:UsersAdministratorDesktopHELP_YOUR_FILES.HTML”
§  exe Delete Shadows /All /Quiet

文章原文链接:https://www.anquanke.com/post/id/82860