FTCODE勒索软件再升级 现在会加密系统文件并窃取浏览器密码 安全资讯

admin 8月前 121

研究人员发现了FTCODE勒索软件的更新版本,这一次看起来作者似乎将更多的精力放在了密码窃取功能上。ThreatLabZ团队进行的分析表明,该恶意软件专门针对说意大利语的Windows用户,并且最新版本(检测为1117.1)采用VBScript下载方法进行更复杂的攻击。


攻击者使用电子邮件将勒索软件传播到潜在目标,恶意电子邮件包括受感染的文档和VBScript,它们在执行时运行会触发勒索软件感染的PowerShell脚本。该脚本首先将诱饵图像下载到%temp%文件夹中,并试图诱使用户相信他们只是收到了图像,然后在后台下载并运行勒索软件。


该恶意软件试图通过在Windows启动文件夹中创建一个名为WindowsIndexingService.lnk的快捷方式来获得持久运行能力。此外,它还会创建一个计划任务,称为WindowsApplicationService,快捷方式和计划任务都共同指向恶意的WindowsIndexingService.vbs脚本。


一旦设备被感染,勒索软件就会对多种文件格式进行加密,FTCODE使用GUID生成密码,并生成较早的随机字符集。它使用Rijndael对称密钥加密来加密上述每个扩展文件的40960字节。初始化向量基于11个随机生成的字符,并在根文件夹中放入名为“READ_ME_NOW.htm”的勒索注释。


完成准备后,勒索软件会指示用户下载Tor浏览器并访问链接,在该链接上,他们需要付费才能使用解密密钥来解锁文件。


除了加密文件之外,勒索软件还从包括Internet Explorer,Mozilla Firefox,Mozilla Thunderbird,Google Chrome和Microsoft Outlook在内的流行浏览器和电子邮件客户端中窃取凭据。勒索软件可以扫描这些应用程序存储凭据的默认位置,提取数据,然后将其上传到恶意软件作者把控的服务器。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:Windows CryptoAPI存在严重安全漏洞 微软推荐用户尽快升级
下一篇:张富贵信息
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回