恶意勒索软件CryptoWall家族的第四个成员CryptoWall 4.0刚刚发布,给我们带来了一些新功能和一个全新的面貌。
我们在最近的报道中提到,CryptoWall 3.0造成了$ 3.25亿的年度损失。 第一版CryptoWall在2014年4月诞生,它的第一次重大升级是CryptoWall 2.0,在2014年10月发布。CryptoWall 3.0在2015年1月发布并在全球范围内引起恐慌。现在,2015年11月,CryptoWall 4.0也亮相了。
新功能
在CryptoWall家族的第4个成员中有一些新的功能,如加密受感染的文件的名字和拓展名。此外,CryptoWall 4.0还将其勒索信命名改为HELP_YOUR_FILES.TXTand HELP_YOUR_FILES.HTML。
该勒索信本身包括付款说明,还有一些嘲笑用户的话。
传播方式
最初报道中的样本是在 Bleeping Computer论坛上被感染的用户提供的,网络钓鱼是通过附有自称简历的ZIP压缩包附件的电子邮件传播的。 ZIP压缩包中的文件是一个JavaScript文件,这使得用户从有效负载为硬编码的URL 上下载了一个进行过模糊处理和美化的CryptoWall 4.0。
但是,漏洞工具很有可能将很快开始使用CW4作为有效载荷(特别是Angler EK)。
技术信息
CryptoWall 4.0有效载荷的C&C的通讯和活动行为和它的早期版本颇为相似。我们已经分析样本并进行了以下操作,具体见下图。
关联域
添加文件
删除文件
修改文件
添加注册表项
进程树
· INITIAL SAMPLE
o exe
§ exe -k netsvcs
§ EXE “C:UsersAdministratorDesktopHELP_YOUR_FILES.TXT”
§ exe “C:UsersAdministratorDesktopHELP_YOUR_FILES.HTML”
§ exe Delete Shadows /All /Quiet