会安装杀毒软件的勒索软件:安装完毕,请交赎金

释放双眼,带上耳机,听听看~!

看到题目就知道,现在的勒索是越来越SAO了。

这次使用捆绑正常软件的勒索名为Dharma勒索软件,由趋势科技发现并披露。

Dharma通常使用垃圾邮件分发,而本次有趣的攻击案例中,所为分发的邮件如下。

邮件内容大致为,你的电脑存在风险了,我们的系统检测到又一些异常数据在你的电脑,并且占据了电脑37.2%,他们会损坏你电脑的文件。

要想修复,赶紧点击下载,请在下面更新并验证您的防病毒软件。

除此之外,还放了一个密码,密码为微软的网址,以便显的比较专业。

点击钓鱼链接下载程序  http://link.fivetier.com/wf/click?upn=vtt9F

下载回来后用户自行点击执行自解压包

Defender.exe

a5de5b0e2a1da6e958955c189db72467ec0f8daaa9f9f5ccc44e71c6c5d8add4

而此时,前台会运行ESET的安装程序,后台勒索软件会加密你的文件。

AV Remover是一个合法工具,如果执行它,它将完成熟悉的安装程序。但是,即使安装未启动,勒索软件仍会加密文件。

恶意软件在与软件安装不同的实例上运行,因此它们的行为无关。

该工具是与恶意软件捆绑在一起的合法软件,因此需要用户交互才能完全安装它。

即使未触发工具安装,勒索软件也会运行,即使勒索软件没有运行,也可以安装该工具。

安装过程似乎只是为了诱使用户认为没有恶意活动正在进行。

ESET是带签名的,这对于一些功能单一的沙箱具有良好的绕过能力。

ESET的官方回应

通常对于勒索软件这类攻击技术的分析技术都会大篇幅的介绍代码,其实我觉得没必要,你都点击勒索软件了,这时候除了马上断电,还有啥有效的方法吗。

勤快备份文件到硬盘,微软自动更新补丁开启,密码勤改,看到来历不明的邮件别瞎点,这才是王道。

参考链接:

https://blog.trendmicro.com/trendlabs-security-intelligence/dharma-ransomware-uses-av-tool-to-distract-from-malicious-activities/

上期看点:


欢迎下方长按识别二维码关注本公众号

更多情报和数据,请关注公众号

点击菜单栏,扫码加入知识星球

感谢您的关注和转发

右下角

朕编不下去了了

本文源自微信公众号:黑鸟

人已赞赏
安全工具

引导舆论导向?伊朗组织通过伪造虚假新闻网站进行宣传和洗脑

2019-10-16 10:45:58

安全工具

盘数几则热门微信好友诈骗套路

2019-10-16 10:46:03

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索