详细内容或原文请订阅后点击阅览
ShadowRoot:新的勒索软件威胁已袭击土耳其企业
医疗保健和在线交易受黑客影响最大。
来源:安全实验室新闻频道医疗保健和在线交易受黑客影响最大。
ForcePoint 的 X-Labs 研究团队发现并确定了一种针对土耳其企业的新型勒索软件。
检测到并识别攻击从通过可疑电子邮件分发的 PDF 附件开始。 PDF 文件内有一个链接,可从受感染的 GitHub 帐户下载进一步的可执行文件。
PDF下载的文件是用 Borland Delphi 4.0 编译的 32 位二进制文件。启动后,它会解压并将其他文件放置在“C:\TheDream\”目录中,包括“RootDesign.exe”、“Uninstall.exe”和“Uninstall.ini”。辅助文件“RootDesign.exe”使用 .NET Confuser.Core 版本 1.6 进行保护。
文件类和函数受到混淆保护,这使您可以绕过传统的恶意软件检测方法。恶意软件解压后,它会运行 PowerShell 命令以静默方式执行“RootDesign.exe”。
运行中的文件会在内存中创建许多自身的副本,这会增加系统资源的消耗。它通过为关键系统和办公文件分配“.ShadowRoot”扩展名来对其进行加密。在根目录中创建一个日志“log.txt”,其中记录了所有程序操作。
加密文件附有一个文本文件“readme.txt”,其中包含土耳其语的赎金要求。该文本没有提供加密钱包的详细信息,但要求受害者通过提供的电子邮件地址联系以获取进一步的付款和解密说明。
该恶意软件针对土耳其公司,特别是医疗保健和在线零售行业的企业。黑客使用伪造的 PDF 发票进行分发。该程序使用简单的加密方法并具有非常基本的功能,这就是为什么研究人员认为它是由缺乏经验的攻击者创建的。