Lucky勒索软件

Lucky Ransomware是一种加密勒索软件木马，于2018年11月中旬被发现，当时它感染了金融领域一些公司的服务器。勒索软件威胁旨在使用加密算法来使受害者的文件不可访问，以便他们可以要求勒索赎金，以换取对受影响数据的重新访问。对这种恶意软件的分析表明，它与以前检测到的名为Satan的勒索软件具有几乎相同的结构和相同的CNC服务器。撒旦勒索软件本身已经随着时间的推移而发展，将其利润来源从勒索变成了挖矿，而目前，威胁参与者将新的变种Lucky结合了加密货币挖矿功能和勒索功能。

幸运是撒旦勒索软件的变种

Lucky Ransomware设计要执行的主要功能是文件加密，传播和挖掘。 Lucky使用AES加密算法进行文件加密，Lucky使用某些众所周知的服务器端漏洞进行传播，同时为了获取更多利润从恶意软件中进行挖掘，使用了一个自建的矿池地址。由Satan Ransomware使用。 Lucky的总体架构与Satan Ransomware的架构相匹配。它包含几个组件，例如一个名为“ fast.exe / ft32”的非常小的文件，该文件预加载了传播和加密模块。然后，恶意软件使用名为“ cpt.exe / cry32”的加密模块对文件进行加密，而传播模块“ conn.exe / conn32”则通过利用相应的系统漏洞来传播恶意软件。最后，一个名为“ mn32.exe / mn32”的挖掘模块建立了与矿池地址的连接，一个名为“ srv.exe”的服务模块通过创建Windows服务来确保稳定的执行。

幸运的勒索软件不会给受害者带来任何好运

Lucky Ransomware感染Windows和Linux平台，并且具有蠕虫状的设计，可以利用Windows和Linux服务器平台中的十个不同且众所周知的漏洞，自行传播，而无需任何人为干预。网络安全专家已成功识别出这些漏洞，它们是：

• JBoss反序列化漏洞（CVE-2013-4810，CVE-2017-12149）
• JBoss默认配置漏洞（CVE-2010-0738）
• Spring Data Commons远程代码执行漏洞（CVE-2018-1273）
• Windows SMB远程执行代码漏洞（MS17-010）
• Tomcat任意文件上传漏洞（CVE-2017-12615）
• Tomcat Web管理控制台后台弱密码暴力破解攻击
• WebLogic任意文件上传漏洞（CVE-2018-2894）
• WebLogic WLS组件漏洞（CVE-2017-10271）
• Apache Struts 2远程代码执行漏洞（S2-045）
• Apache Struts 2远程执行代码漏洞（S2-057）

幸运的勒索软件具有广泛的感染风险，因为所有这些漏洞都易于利用，并且实际利用都可以在Internet上公开获得。这使得威胁参与者几乎无需自定义恶意软件脚本即可攻击易受攻击的系统。尚未修补其系统的组织面临更高的风险，因为一些已利用的漏洞已在几个月前宣布。

用户生成的文件是加密的主要目标

为了加密文件，恶意软件会遍历文件夹并通过其特定扩展名找到目标文件。. 勒索软件会跳过受感染机器正常运行所需的系统文件，而由Lucky加密的目标文件包括各种用户生成的文件，例如多种媒体文件类型，文档，数据库等：

.jpg，.jpeg，.raw，.tif，.gif，.png，.bmp，.3dm，.max，.accdb，.db，.dbf，.mdb，.pdb，.sql，.dwg，.dxf ，.cpp，.cs，.h，.php，.asp，.rb，.java，.jar，.class，.py，.js，.aaf，.aep，.aepx，.plb，.prel 、. prproj，.aet，.ppj，.psd，.indd，.indl，.indt，.indb，.inx，.idml，.pmd，.xqx，.xqx，.ai，.eps，.ps，.svg， .swf，.fla，.as3，.as，.txt，.doc，.dot，.docx，.docm，.dotx，.dotm，.docb，.rtf，.wpd，.wps，.msg，.pdf ，.xls，.xlt，.xlm，.xlsx，.xlsm，.xltx，.xltm，.xlsb，.xla，.xlam，.xll，.xlw，.ppt，.pot，.pps，.pptx 、. pptm，.potx，.potm，.ppam，.ppsx，.ppsm，.sldx，.sldm，.wav，.mp3，.aif，.iff，.m3u，.m4u，.mid，.mpa，.wma， .ra，.avi，.mov，.mp4，.3gp，.mpeg，.3g2，.asf，.asx，.flv，.mpg，.wmv，.vob，.m3u8，.dat，.csv，.efx ，.sdf，.vcf，.xml，.ses，.qbw，.qbb，.qbm，.qbi，.qbr，.cnt，.des，.v30，.qbo，.ini，.lgb，.qwc 、. qbp，.aif，.qba，.tlg，.qbx，.qby，.1pa，.qpd，.txt，.set，.iif，.nd，.rtp，.tlg，.wav，.qsm，.qss， .qst，.fx0，.fx1，.mx0，.fpx，.fxr，.fim，.ptb，.ai，.pfb，.cgn，.vsd 、. cdr，.cmx，.cpt，.csl，.cur，.des，.dsf，.ds4，.drw，.eps，.ps，.prn，.gif，.pcd，.pct，.pcx，.plt ，.rif，.svg，.swf，.tga，.tiff，.psp，.ttf，.wpd，.wpg，.wi，.raw，.wmf，.txt，.cal，.cpx，.shw 、. clk，.cdx，.cdt，.fpx，.fmv，.img，.gem，.xcf，.pic，.mac，.met，.pp4，.pp5，.ppf，.nap，.pat，.ps， .prn，.sct，.vsd，.wk3，.wk4，.xpm，.zip，.rar。

受到攻击的所有文件都会通过添加联系电子邮件，随机字符串和文件扩展名“ .lucky”来重命名，所有文件都将添加到受攻击的数据中。 2018年12月的另一个分析样本使用“ .nmare”代替“ .lucky”作为损坏文件的名称。

幸运勒索软件的勒索需求

犯罪分子有理由要求受害者支付赎金，因为像Lucky Ransomware这样的威胁旨在加密受害者的文件。 Lucky Ransomware勒索要求包含在名为“ _How_To_Decrypt_My_File_.txt”的文本文件中，该文件放置在受感染计算机的桌面上。在其他一些示例中，赎金记录文件名为“ How_To_Decrypt_My_File”。以下是幸运勒索赎金记录中包含的文本：

'很抱歉告诉你。

电子邮件：[nmare@cock.li]'

Lucky Ransomware的赎金记录应被忽略，应避免支付与Lucky Ransomware等威胁相关的任何赎金！

保护您的数据免受诸如幸运勒索软件的威胁

防范Lucky Ransomware等威胁的最佳方法是拥有文件的备份副本。如果将这些备份副本存储在安全的位置（例如云）中，则可以更安全。除了文件备份之外，计算机用户还应安装一个安全程序，该程序虽然不能还原加密的数据，但可以阻止首先安装Lucky Ransomware。. 由于勒索软件攻击通常利用保护不力的网络以及过时的软件和操作系统的优势，因此，计算机用户必须确保其计算机始终处于最新状态并受到充分保护，免受恶意软件威胁，这一点很重要。

Lucky勒索软件 截图