谨防这种针对 Windows PC 的新 Tycoon 勒索软件
2分钟读
发表于
分享此文章
改进本指南
FBI 互联网犯罪投诉中心(IC3)去年发布了《互联网犯罪报告》。 该报告显示,网络犯罪在 3.5 年造成了 2.7 亿美元(2019 亿英镑)的巨额损失。攻击者使用勒索软件从企业和个人用户那里获取资金。 黑莓的安全研究部门最近发现了一种影响欧洲教育机构的新勒索软件。 与迄今为止发现的大多数勒索软件不同,这个新的勒索软件模块被编译成 Java 图像文件格式 (JIMAGE)。 JIMAGE 是一种存储自定义 JRE 图像的文件格式,旨在供 Java 虚拟机 (JVM) 在运行时使用。
以下是攻击的发生方式:
- 为了在受害者的机器上实现持久性,攻击者使用了一种称为图像文件执行选项 (IFEO) 注入的技术。 IFEO 设置存储在 Windows 注册表中。 这些设置使开发人员可以选择在目标应用程序执行期间通过调试应用程序的附件来调试他们的软件。
- 随后,一个后门与操作系统的 Microsoft Windows 屏幕键盘 (OSK) 功能一起执行。
- 攻击者使用 ProcessHacker 实用程序禁用了该组织的反恶意软件解决方案,并更改了 Active Directory 服务器的密码。 这使受害者无法访问他们的系统。
- 大多数攻击者文件都带有时间戳,包括 Java 库和执行脚本,文件日期时间戳为 11 年 2020 月 15 日 16:22:XNUMX
- 最后,攻击者执行 Java 勒索软件模块,加密所有文件服务器,包括连接到网络的备份系统。
提取与勒索软件相关的zip文件后,以“tycoon”的名义存在三个模块。 因此,黑莓团队将此勒索软件命名为大亨。 查看下面大亨的赎金记录。
您可以从下面的链接中找到有关此勒索软件的更多详细信息。
Sumber: Blackberry
