香港aa三级久久三级,色94色欧美sute亚洲线路二,色偷偷亚洲天堂av,玩弄japan白嫩少妇hd小说,午夜福利在线观看午夜电影街bt

假Office真勒索，360率先破解Montelli

2025-03-05 10:51:42
我要分享


微信掃碼分享

情況概述

近期360安全智腦監(jiān)測到一款新的勒索軟件。該軟件背后的組織精心構(gòu)造了一個(gè)偽裝成Microsoft 365（Office）下載頁面的釣魚頁面來投遞勒索軟件，用戶一旦不慎下載并執(zhí)行該頁面所提供的程序，電腦中幾乎所有的數(shù)據(jù)文檔都會被加密。被該勒索軟件加密后的文件會被添加“.Montelli”后綴，而文件內(nèi)容則被勒索軟件使用RC4算法進(jìn)行加密，該算法也因其頗高的性能來保障整個(gè)設(shè)備中的文件會以很快的速度被全部加密。

經(jīng)過360安全智腦的技術(shù)分析后，該勒索軟件的當(dāng)前版本已被360反勒索服務(wù)完成破解。如有不慎中招的用戶，可聯(lián)系360反勒索服務(wù)嘗試進(jìn)行免費(fèi)解密。

勒索軟件樣本說明

樣本總述

如概述中所說，該勒索軟件是通過釣魚頁面進(jìn)行傳播的。被該組織用來構(gòu)建釣魚頁面的是GitHub服務(wù)，由于GitHub本身屬于訪問量極高的正規(guī)站點(diǎn)，這也導(dǎo)致了很多具有基礎(chǔ)安全功能的瀏覽器會直接將站點(diǎn)識別為安全。

基于GitHub服務(wù)所構(gòu)造的頁面內(nèi)容則是偽裝成了微軟的Microsoft 365，也就是此前為大眾所熟悉的知名辦公軟件——Office的下載頁面。

圖1. 偽裝為Microsoft 365下載頁面的勒索軟件釣魚站點(diǎn)?

與下載頁面相同，勒索軟件主體程序的下載鏈接同樣是使用了GitHub服務(wù)。

圖2. 勒索軟件下載鏈接

而該程序落地后，其程序圖標(biāo)也偽裝成了Microsoft 365的官方圖標(biāo)。這也算是“穩(wěn)扎穩(wěn)打，步步為營”了。

圖3. 勒索軟件將圖標(biāo)也偽裝成Office?

而經(jīng)過分析人員的分析，該勒索軟件簡要的攻擊流程簡圖如下：

圖4. 勒索軟件攻擊流程簡圖

樣本分析

經(jīng)分析發(fā)現(xiàn)，在用戶被誘導(dǎo)下載并執(zhí)行了該勒索軟件樣本后，其會通過參數(shù)通知系統(tǒng)以隱藏控制臺的模式在后臺悄悄運(yùn)行該勒索軟件。

圖5. 勒索軟件以隱藏控制臺模式在后臺運(yùn)行?

運(yùn)行后，軟件首先會從遠(yuǎn)程服務(wù)端下載其定制桌面壁紙圖片到本地。此后，再從代碼中內(nèi)置的一段數(shù)據(jù)解碼出一段PowerShell命令代碼，執(zhí)行后會將剛剛下載到的圖片設(shè)置為系統(tǒng)當(dāng)前壁紙。之后，還會下載用于勒索受害用戶的“勒索信程序”。

圖6. 勒索軟件下載定制的桌面壁紙及勒索信程序?

完成上述下載操作后，程序會啟動單獨(dú)線程執(zhí)行核心的加密功能。

圖7. 勒索軟件啟動獨(dú)立現(xiàn)成執(zhí)行核心加密功能

圖8. 執(zhí)行中的加密代碼?

根據(jù)分析人員分析發(fā)現(xiàn)，該勒索軟件在加密具體文件的過程中采用了RC4對稱算法。RC4算法是Ron Rivest為RSA公司設(shè)計(jì)的一種流加密算法，該算法以隨機(jī)置換作為基礎(chǔ)，其密碼周期很可能大于10100，并且該算法的運(yùn)行速度很快。

在我們分析的樣本中，調(diào)用RC4算法進(jìn)行加密的相關(guān)代碼如下。