Threat Database Ransomware Lucky勒索軟件

Lucky勒索軟件

Lucky Ransomware是一種加密勒索軟件木馬,於2018年11月中旬被發現,當時它感染了金融領域一些公司的服務器。勒索軟件威脅旨在使用加密算法來使受害者的文件不可訪問,以便他們可以要求勒索贖金,以換取對受影響數據的重新訪問。對這種惡意軟件的分析表明,它與以前檢測到的名為Satan的勒索軟件具有幾乎相同的結構和相同的CNC服務器。撒旦勒索軟件本身已經隨著時間的推移而發展,將其利潤來源從勒索變成了挖礦,而目前,威脅參與者將新的變種Lucky結合了加密貨幣挖礦功能和勒索功能。

幸運是撒旦勒索軟件的變種

Lucky Ransomware設計要執行的主要功能是文件加密,傳播和挖掘。 Lucky使用AES加密算法進行文件加密,Lucky使用某些眾所周知的服務器端漏洞進行傳播,同時為了獲取更多利潤從惡意軟件中進行挖掘,使用了一個自建的礦池地址。由Satan Ransomware使用。 Lucky的總體架構與Satan Ransomware的架構相匹配。它包含幾個組件,例如一個名為“ fast.exe / ft32”的非常小的文件,該文件預加載了傳播和加密模塊。然後,惡意軟件使用名為“ cpt.exe / cry32”的加密模塊對文件進行加密,而傳播模塊“ conn.exe / conn32”則通過利用相應的系統漏洞來傳播惡意軟件。最後,一個名為“ mn32.exe / mn32”的挖掘模塊建立了與礦池地址的連接,一個名為“ srv.exe”的服務模塊通過創建Windows服務來確保穩定的執行。

幸運的勒索軟件不會給受害者帶來任何好運

Lucky Ransomware感染Windows和Linux平台,並且具有蠕蟲狀的設計,可以利用Windows和Linux服務器平台中的十個不同且眾所周知的漏洞,自行傳播,而無需任何人為乾預。網絡安全專家已成功識別出這些漏洞,它們是:

  • JBoss反序列化漏洞(CVE-2013-4810,CVE-2017-12149)
  • JBoss默認配置漏洞(CVE-2010-0738)
  • Spring Data Commons遠程代碼執行漏洞(CVE-2018-1273)
  • Windows SMB遠程執行代碼漏洞(MS17-010)
  • Tomcat任意文件上傳漏洞(CVE-2017-12615)
  • Tomcat Web管理控制台後台弱密碼暴力破解攻擊
  • WebLogic任意文件上傳漏洞(CVE-2018-2894)
  • WebLogic WLS組件漏洞(CVE-2017-10271)
  • Apache Struts 2遠程代碼執行漏洞(S2-045)
  • Apache Struts 2遠程執行代碼漏洞(S2-057)

幸運的勒索軟件具有廣泛的感染風險,因為所有這些漏洞都易於利用,並且實際利用都可以在Internet上公開獲得。這使得威脅參與者幾乎無需自定義惡意軟件腳本即可攻擊易受攻擊的系統。尚未修補其係統的組織面臨更高的風險,因為一些已利用的漏洞已在幾個月前宣布。

用戶生成的文件是加密的主要目標

為了加密文件,惡意軟件會遍歷文件夾並通過其特定擴展名找到目標文件。. 勒索軟件會跳過受感染機器正常運行所需的系統文件,而由Lucky加密的目標文件包括各種用戶生成的文件,例如多種媒體文件類型,文檔,數據庫等:

.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf ,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel 、. prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg, .swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf ,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx 、. pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma, .ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg,.wmv,.vob,.m3u8,.dat,.csv,.efx ,.sdf,.vcf,.xml,.ses,.qbw,.qbb,.qbm,.qbi,.qbr,.cnt,.des,.v30,.qbo,.ini,.lgb,.qwc 、. qbp,.aif,.qba,.tlg,.qbx,.qby,.1pa,.qpd,.txt,.set,.iif,.nd,.rtp,.tlg,.wav,.qsm,.qss, .qst,.fx0,.fx1,.mx0,.fpx,.fxr,.fim,.ptb,.ai,.pfb,.cgn,.vsd 、. cdr,.cmx,.cpt,.csl,.cur,.des,.dsf,.ds4,.drw,.eps,.ps,.prn,.gif,.pcd,.pct,.pcx,.plt ,.rif,.svg,.swf,.tga,.tiff,.psp,.ttf,.wpd,.wpg,.wi,.raw,.wmf,.txt,.cal,.cpx,.shw 、. clk,.cdx,.cdt,.fpx,.fmv,.img,.gem,.xcf,.pic,.mac,.met,.pp4,.pp5,.ppf,.nap,.pat,.ps, .prn,.sct,.vsd,.wk3,.wk4,.xpm,.zip,.rar。

受到攻擊的所有文件都會通過添加聯繫電子郵件,隨機字符串和文件擴展名“ .lucky”來重命名,所有文件都將添加到受攻擊的數據中。 2018年12月的另一個分析樣本使用“ .nmare”代替“ .lucky”作為損壞文件的名稱。

幸運勒索軟件的勒索需求

犯罪分子有理由要求受害者支付贖金,因為像Lucky Ransomware這樣的威脅旨在對受害者的文件進行加密。 Lucky Ransomware勒索要求包含在名為“ _How_To_Decrypt_My_File_.txt”的文本文件中,該文件放置在受感染計算機的桌面上。在其他一些示例中,贖金記錄文件名為“ How_To_Decrypt_My_File”。以下是幸運勒索贖金記錄中包含的文本:

'很抱歉告訴你。

有些文件已加密

如果您想退回文件,請向我的錢包發送1比特幣

我的錢包地址:3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd

如果您有任何疑問,請與我們聯繫。

電子郵件:[nmare@cock.li]'

Lucky Ransomware的贖金記錄應被忽略,應避免支付與Lucky Ransomware等威脅相關的任何贖金!

保護您的數據免受諸如幸運勒索軟件的威脅

防範Lucky Ransomware等威脅的最佳方法是擁有文件的備份副本。如果將這些備份副本存儲在安全的位置(例如雲)中,則可以更安全。除了文件備份之外,計算機用戶還應安裝一個安全程序,該程序雖然不能還原加密的數據,但可以阻止首先安裝Lucky Ransomware。. 由於勒索軟件攻擊通常利用保護不力的網絡以及過時的軟件和操作系統的優勢,因此,計算機用戶必須確保其計算機始終處於最新狀態並受到充分保護,免受惡意軟件威脅,這一點很重要。

Lucky勒索軟件 截图

熱門

最受關注

加載中...