菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

首页科技正文

对AvosLocker勒索软件的深入剖析

admin2021-09-1438勒索软件

皇冠登1登2登3

www.9cx.net)实时更新发布最新最快最有效的登1登2登3代理网址,包括新2登1登2登3代理手机网址,新2登1登2登3代理备用网址,皇冠登1登2登3代「dai」理最新网址,新2登1登2登3代理足球网址,新2网址大全。

,


最近,Cyble研究实验室遇到了一‘yi’个名为AvosLocker的新勒索软件组织。我们在之前的博客中先容了这个新勒索软件组的主要功效。它是一种恶意可执行文件,通过熏染Windows盘算机对受害者的文{wen}档文件举行加密并要求赎金,这是它勒索程序的一部门。Cyble的研究职员发现,AvosLocker勒索软件小组使用了种种庞大的手艺来开发勒索软件。

在图1中,Cyble研究职员展示了AvosLocker勒索软件的完整执行流程。


图1 AvosLocker勒索软件的执行流程

手艺剖析

我《wo》们从静态剖析入手,可以发现该勒索软件是一个基于x86架构的控制台应用程序,使用C/C++编程语言开发,近期编译于“2021-07-06 02:57:44”,如图2所示。


图2静态可移「yi」植可执行文件(PE)详细信息

在执行勒索软件可执行文件后,将会在每个目录中确立一个名为“GET_YOUR_FILES_BACK.txt”的赎金条。该赎金条指示受害者接见『jian』“hxxp:xxavos2fuj6olp6x36[.]onion”网站,领会有关赎金金额和支付方式的详细信息,如图3所示。


图3 AvosLocker赎金说明

如图4所示,一旦确立了赎金条,勒索软件就会加密用户的文档文件并在其上附加“.avos”扩展名。


图4 “.avos”附加在加密文件扩展名上

勒索软件还会对「dui」网络共享驱动器举行加密,如图5所示。


图5 加密共享驱动器

代码剖析

Cyble研究实验室从代码剖析最先其观察。

最初,勒索软件会确立一个名‘ming’为“ievah8eVki3Ho4oo”的互斥锁,以确保在受害操作系统(操作系统)中一次只有一个历程在运行,如图6所示。


图6 使用名称“ievah8eVki3Ho4oo”确立的互斥锁 

恶意软件天生一个密钥,可用于使用AES-256算法加密文档文件,如图7所示。


图7 加密API

天生密钥后,恶意软件会实验使用应用程序编程接口(API)枚举网络共享,用于对其举行〖xing〗加密,列出网络共享的代码,如图8所示。

◼WNetOpenEnumA

◼WNetEnumResourceA

◼WNetAddConnection2A

◼WNetCloseEnum


图8 枚举网络共享的代码

此外,勒索软件会遍历所有逻辑驱动器,并在每个目录中确立赎金条名称“GET_YOUR_FILES_BACK.txt”。我们可【ke】以在图9中看到相同的内容。 

新2会员手机管理端

新2会员手机管理端(www.22223388.com)实时更新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2会员手机管理端、新2手机版登录网址“zhi”、新2皇冠登录网址。


图9 AvosLocker写制赎金条

确立赎金纪录后,勒〖le〗索软件搜索所有具有扩展名的文件,如图10所‘suo’示。


图10 AvosLocker的目的文件扩展名

一旦勒索‘suo’软件找到具有界说扩展名的文件(如图10所示),它就会使用“重启治理器”手艺(如图11所示)来检查勒索软件试图加密的文件是否正在被任何正在运行的历程使用。若是文件当前正被另一个历程接见,勒索软件会终止该历程并继续举行内容加密。


图11 Windows API(应用程序编程接口)挪用Restart Manager手艺

勒索软件读取文件的内容,对其举行加密,然后将内容写『xie』入具有唯一署名的加密文件中。该署名用于标识文件是否加密,如图12所示。


图12 加密文件内容{rong}中附加的署名

一旦内容加密后,AvosLocker勒索软件就会使用“MoveFileW”API将其附加上“.avos”扩展名,如图13所示。


图13 将“.avos”扩 kuo[展名附加《jia》到加密文件

我们的研究解释,勒索软件使用下面列出的DLL举行规避。勒索软件并没有仅仅依赖Win32 API,而是使用界说的VC++库来开发AvosLocker勒索软件。

 Eapi-ms-win-core-datetime-l1-1-1

 api-ms-win-core-file-l1-2-2

 api-ms-win-core-localization-l1-2-1

 api-ms-win-core-localization-obsolete-l1-2-0

 api-ms-win-core-processthreads-l1-1-2

 api-ms-win-core-string-l1-1-0

 api-ms-win-core-sysinfo-l1-2-1

 api-ms-win-core-winrt-l1-1-0

 api-ms-win-core-xstate-l2-1-0

 api-ms-win-security-systemfunctions-l1-1-0

 ext-ms-win-ntuser-dialogbox-l1-1-0

 ext-ms-win-ntuser-windowstation-l1-1-0

 api-ms-win-appmodel-runtime-l1-1-2 

自2021年7月以来,AvosLocker勒索软件组织一直在起劲针对种种组织 zhi[和 *** 机构。

结论

我们的研究解释,AvosLocker是作为基于“控制台”的应用程序确立“li”的。随着时间(jian)的推移,勒索软件组织背后的网络犯罪分子会不停添加新代码,以使用新的战略、手艺和程序(TTP)连续生长他们的勒索软件即服务(RaaS)服务。我们以为,AvosLocker勒索软件即将推出被进一步增强的变体形式。

我们一直在监视AvosLocker的勒索流动,并会在我们发现最新新闻的第一时间向我们的读者举行提供。

我们的建议

我们列出了一些基本的网络平『ping』安最佳实践,它们确立了针对攻击者的第一道控制线。我们『men』建议读者遵照下面给出的这些建议:

 尽可能使用强密码并强制执行多因素身份验证。

 尽可能在您的盘算机、移动装备和其他毗邻的装备上启用软件自动更新功效。 

 在您毗邻的装备(包罗PC、条记本电脑和移动装备)上使用着名的防病毒和Internet平安软件包。

 阻止在未验证真实性的情形下打开不受信托的链接和电子邮件附【fu】件。

 执行定期备份操作,并将这些备份保持离线或保持在单独的网络中。

本文翻译自:https://blog.cyble.com/2021/07/23/deep-dive- *** ysis-avoslocker-ransomware/

网友评论

1条评论
  • 2021-09-14 00:10:31

    另悉,停止2021年2月21日晚7时,由恒腾网络旗下儒意影业作为主要出品方及最大保底刊行方的影片《你好,李焕英》上映10日累计收获票房跨越40亿人民币。情节超合理