近期,安然钻研专家发清楚明了一款异常故意思的恶意软件,它会根据目标用户的电脑设置设置设备摆设摆设来抉择到底用哪个规划来从用户身上取利。
打单软件可以锁定你的电脑,并经由过程对数据进行加密来阻拦你造访自己电脑中的文件,直到你向进击者支付赎金才行,而不法挖矿软件使用的是目标用户设备的CPU算力以及电能来挖加密泉币。这两种进击在这两年里已经成为了广大年夜用户面临的主要要挟,作为非针对性进击而言,这两种进击具有必然的相似性,由于它们不仅都必要从目标用户身上夺图利益,而且两者都涉及到加密泉币。
然则,锁定目标用户的电脑并不必然能够给进击者带来利益,由于很多用户的电脑中并没有存储若干有代价的器械,是以很多进击者便开始经由过程使用目标设备的CPU和电能来赢利,也便是所谓的恶意挖矿。
卡巴斯基实验室的钻研职员将这款恶意软件命名为Rakhni打单软件,而且Rakhni近期更新得也对照频繁,并提升了其挖矿能力。
Rakhni采纳Delphi编写,并经由过程微软Word文档附件(钓鱼邮件)的形式进行传播,当目标用户打开附件文档之后,文件会提醒用户保存文档并启用编辑功能。该文档包孕一个PDF图标,点击之后便会在目标用户设备上运行恶意可履行文件,并立即显示捏造的差错提示框,然后诈骗用户让他们以为系统缺掉了相关的组件。
Rakhni若何判断进行哪种感染操作?
在后台,Rakhni会进行很多反虚拟机和反沙箱检测操作,假如所有前提都满意,它便会进行下一步检测来判断应用哪一个感染Payload,即感染打单软件照样挖矿软件。
1.安装打单软件:目标系统的AppData目录中是否拥有跟“比特币”相关的内容?
在应用RSA-1024加密算法对文件进行加密之前,恶意软件会终止预定义列表中所有指定的热门利用进程,并经由过程文本文件显示打单信息。
2.安装加密泉币挖矿软件:若目标系统中没有跟“比特币”相关的内容,而设备又拥有两个或以上的逻辑处置惩罚器。
假如系统感染了挖矿软件,它便会应用MinerGate对象在后台挖XMR、XMO换个DSH等加密泉币。
除此之外,它还会应用CertMgr.exe对象来安装捏造的证书,并声称该证书由微软和Adobe公司宣布,然后考试测验将挖矿软件冒充成合法进程。
3.激活蠕虫组件:若目标系统中没有跟“比特币”相关的内容,而设备又只拥有一个逻辑处置惩罚器。
这个组件将赞助恶意软件在本地收集设备中实现自我复制。
除了感染判断之外,Rakhni还会检测目标设备是否运行了反病毒软件,假如没有运行,Rakhni将会运行多个cmd敕令来考试测验禁用Windows Defender。
竟然还有特工软件功能?
钻研职员表示,Rakhni另一个异常故意思的地方就在于它还具备了某些特工软件功能,此中包括枚举正在运行的进程列表以及实现屏幕截图。
这款恶意软件主要针对的是俄罗斯地区的用户(95.5%),此中还有一小部分用户位于哈萨克斯坦(1.36%)、乌克兰(0.57%)、德国(0.49%)和印度(0.41%)等地。
缓解规划
保护用户安然最好的措施便是不要打开邮件中嵌带的可疑文件和链接,并按期更新你的反病毒软件。除此之外,别忘了按期备份有代价的数据。