Shade勒索软件(又名为Troldesh)是一款历史悠久的勒索软件,于2014年底首次出现,攻击目标主要是针对Microsoft Windows系统的主机,利用恶意垃圾邮件(malspam)和漏洞利用 工具 包进行传播。最近一篇关于Shade的 研究报告 中指出,Shade背后的攻击者的侧重于俄语目标,因为载体往往是俄语电子邮件,但实际上Shade也有非常多的通过英语垃圾邮件进行传播的迹象。
我们回顾了Shade勒索软件的最近的攻击趋势,结果表明,Shade勒索软件的影响群体中,欧美国家占比非常高。事实上,受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家,它们分别是是美国、日本、印度、泰国和加拿大,俄罗斯只排在第七,另外一个在前十名中找到的俄语国家是哈萨克斯坦(排名第十)。这些国家受到攻击的顶级行业分别是高科技、批发和教育。
自2016年以来变化很小
Shade勒索软件可执行文件(EXE)非常一致。我们自2016年以来分析的所有EXE样本都使用cryptsen7f043rr6.onion中的相同Tor地址作为解密器页面,感染期间出现的桌面背景也是相同的。
Shade感染是什么样的?
当Windows主机被Shade勒索软件感染时,桌面背景会通知用户已遭到感染,并且会显示10个文本文件,从README1.txt到README10.txt,如图1所示。
图1:感染了Shade勒索软件的Windows主机的桌面
十个README文件都包含相同的指令,如图2所示。
图2:最近Shade勒索软件感染后的勒索说明
自2016年6月起,所有加密文件的文件扩展名都为.crypted000007,如图3所示。
图3:Shade勒索软件感染的加密文件示例
通过垃圾邮件传播
基于恶意邮件的Shade Ransomware感染涉及一个JavaScript(.js)或其他基于脚本的文件,伪装成发票或账单。在某些情况下邮件内容中懈怠了上述文件的链接,还有一些情况是将脚本文件作为zip附件附加到电子邮件中。在2019年2月的俄语垃圾邮件行动中,附件的PDF文件中包含了下载这些文件链接。
在我们审查的所有情况中,都涉及.js或其他基于脚本的文件,如图4所示。这些基于脚本的文件指在检索Shade勒索软件的可执行文件。
图4:基于垃圾邮件Shade感染的流程图
感染链中的可执行文件传递
基于垃圾邮件的Shade感染链有一个共同点,就是从受感染的服务器检索可执行文件。通过关注这个事件链中的可执行文件,我们可以确定Shade感染尝试的位置。
AutoFocus搜索参数
AutoFocus 有一个Shade勒索软件标签,可识别与Shade相关的任何项目。我们搜索了在感染链中交付Shade的可执行文件,将搜索重点放在通过TCP端口80发送的打包可执行(PE)文件上。通过这些国家的Palo Alto Networks设备来确定Shade勒索软件发生的地理位置,时间区间为2019年第一季度。
最后我们在AutoFocus数据库中搜索的参数是:
· 日期在1月1日至3月31日之间
· Unit 42标签 – Shade勒索软件
· 文件类型是PE
· 文件URL有任何值,但不是未知的
· 源端口(文件来自的TCP端口)为80
· 设备国家/地区具有任何值(不是空白或未标识)
· 文件URL不包含字符串/malware/
· 文件URL不包含字符串malshare.com
· 文件URL不包含字符串paloaltonetworks
·文件URL不包含字符串local
图5.:2019年第一季度Shade勒索软件可执行文件的AutoFocus查询
我们从2019年1月至3月的搜索结果显示,有307个Shade勒索软件样本,感染会话共计超过6,536次。每个会话表示托管Shade Ransomware可执行文件的URL的HTTP请求,许多URL在不同的会话中多次出现。发生次数最多的前十大国家的分别是:
· 美国 – 2,010届会议
· 日本 – 1,677届会议
· 印度 – 989届会议
· 泰国 – 723届会议
· 加拿大 – 712届会议
· 西班牙 – 505届会议
· 俄罗斯联邦 – 86届会议
· 法国 – 71届会议
· 英国 – 67届会议
· 哈萨克斯坦 – 21届会议
图6:我们自动对焦搜索结果显示在世界地图的前十大国家/地区
在我们的客户群中,Shade感染会话发生最多的国家是美国,而托管Shade可执行文件的URL中的绝大多数都来自俄罗斯或俄语国家以外的客户设备。
这一时期的感染前10名垂直行业是:
· 高科技:5,009次会议
· 批发和零售:72期
· 教育:720期
· 电信:311届会议
· 财务:51届会议
· 运输和物流:24次会议
· 制造业:32期
· 专业和法律服务:8次会议
· 公用事业和能源:4次会议
· 州和地方政府:1届会议
结论
可以看出,Shade勒索软件攻击最频繁的目标是高科技类别的组织机构。虽然由于我们的客户群体的缘故,但是得出来的结论可能会倾向于英语国家,不过我们也可以发现,Shade勒索软件在俄罗斯以外的国家也非常活跃,针对的目标更多的是会说英语的受害者而不是俄国人。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 360发布11月勒索病毒疫情分析:攻击目标转向个人用户
- 比WannaCry更厉害,新型勒索软件目标瞄准Linux和Windows服务器
- 比WannaCry更厉害的勒索软件来袭,目标瞄准Linux和Windows服务器
- 新的Ryuk勒索软件以大公司为目标,在5个月内获利近400万美元
- 瞄准大型组织进行勒索:详细分析BitPaymer勒索软件
- 华为汽车中自动驾驶目标检测怎么理解?(通过跨模式的雷达目标检测)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Rationality for Mortals
Gerd Gigerenzer / Oxford University Press, USA / 2008-05-02 / USD 65.00
Gerd Gigerenzer's influential work examines the rationality of individuals not from the perspective of logic or probability, but from the point of view of adaptation to the real world of human behavio......一起来看看 《Rationality for Mortals》 这本书的介绍吧!
