详细内容或原文请订阅后点击阅览
隐秘的fortress模拟torrentlocker,但是另一种勒索软件
ESET评估隐秘夫妇和Torrentlocker之间的差异:两个非常不同的勒索软件菌株。
来源:WeLiveSecurity _恶意软件隐秘的fortress模拟torrentlocker,但是另一种勒索软件
ESET评估隐秘夫妇和Torrentlocker之间的差异:两个非常不同的勒索软件菌株。
2015年3月9日•,1分钟。阅读
2015年3月9日 • , 1分钟。阅读 上周,Kafeine发表了一篇博客文章,内容涉及由核包(核包)开发的勒索软件。此勒索软件将自己识别为“ Cryptofortress”,但是勒索消息和付款页面都看起来像是已经知道的勒索软件:Torrentlocker。 kafeine 勒索软件由核包(核包)开发套件 torrentlocker 进一步分析后,ESET研究人员发现这两个威胁实际上是非常不同的。 Cryptofortress背后的小组用CSS偷走了HTML模板。恶意软件代码和方案实际上大不相同。这是一张夏季的表格和差异: 看来,Cryptofortress背后的群体用CSS偷走了HTML模板。 TorrentLockerCryptoFortressPropagationSpamExploit kitFile encryptionAES-256 CBCAES-256 ECBHardcoded C&C serverYesNoRansom page locationFetched from C&C serverIncluded in malwarePayment page locationOnion-routed (but same server as the hardcoded C&C)Onion-routedAES key Encryptignrsa-1024RSA-1024-CryptographiclibllibtomCryptmicrosoft cryptoapiencypiencrypted files2 mb的部分文件开始filefirst 50%的文件,最多5 mbpaymentbitbit(可变金额)1.0比特币>比特币 torrentlockercryptofortress 隐秘型 propagationspamexploit套件 传播 垃圾邮件 利用套件 文件Encryptionaes-256 CBCAES-256 ECB 文件加密 AES-256 CBC AES-256 ECB 硬编码C&C Serveryesno 硬编码的C&C服务器 是 否 赎金页面位置从恶意软件中的C&C服务器提取 赎金页面位置 从C&C服务器提取 恶意软件中包含 付款页面位置路由(但是与硬编码的C&C相同的服务器)洋葱路由 付款页面位置 洋葱路由(但与硬编码的C&C相同的服务器) 洋葱路由 AES键Encryptionrsa-1024RSA-1024 AES密钥加密1分钟。阅读
上周,Kafeine发表了一篇博客文章,内容涉及由核包(核包)开发的勒索软件。此勒索软件将自己识别为“ Cryptofortress”,但是勒索消息和付款页面都看起来像是已经知道的勒索软件:Torrentlocker。 kafeine 勒索软件由核包(核包)开发套件torrentlocker
进一步分析后,ESET研究人员发现这两个威胁实际上是非常不同的。 Cryptofortress背后的小组用CSS偷走了HTML模板。恶意软件代码和方案实际上大不相同。这是一张夏季的表格和差异: