文章插图
勒索信息
看到这里,我们基本上弄清楚了Paradise勒索病毒新变种是怎么回事了 。
特点4:特殊的时间格式
按照勒索信息指示,研究人员尝试和勒索者沟通,聊天登录页面如下 。
文章插图
勒索病毒聊天登录页面
然后我们看到的是,一条自动消息以及聊天室的相关规则 。
文章插图
勒索病毒聊天页面
尽管攻击者尚未在聊天中有所回复,但是有一个细节值得大家注意,那就是聊天页面的时间日期格式与许多欧洲国家/地区中使用的格式匹配 。
文章插图
我们重新审视该恶意病毒的静态特征,其编译时间戳为“2019-12-08 18:42:38(UTC)”,在欧洲大约在晚上7:42左右落入 。再结合上文的语言白名单来看,新变种的“出生地”不是俄罗斯,就是乌克兰 。
狡猾的“创新者”
新版病毒“强”在哪里?看完上面串起整个攻击过程的四个特性就知道了,那肯定是隐匿性和针对性更强 。奇怪的是,研究人员只发现了该变种针对亚洲某一组织的攻击活动,不过,如果把这次攻击当做是一次新版本测试那就很好解释了 。
文章插图
受攻击组织提供IQY的SMTP流量
Paradise勒索病毒绝对称得上是“老熟人”了,偏偏它还十分狡猾,总是在“攻击-解密-新变种-再解密”的循环中不断自我创新 。
2018年7月,Paradise勒索病毒开始大规模入侵我国,加密除系统以及部分浏览器文件夹内部文件以外的所有文件,加密后生成“超长后缀+勒索声明+定制用户ID”三连套餐 。
2019年3月,Paradise勒索病毒再度袭来,改头换面以UPX加壳、借用了CrySiS家族的勒索信息,代码结构也区别于早期版本 。
2019年8月,最新Paradise变种病毒再次被截获,将自身主体代码在内存中解密后执行,靠Flash漏洞传播,专攻FlashPlayer版本较低的用户 。
2019年10月,Paradise勒索家族KimChinIm、Support两大病毒变种接连涌现,与以往已知的Paradise病毒仍有较大差异,这里就不一一细说了 。
看看,这就是Paradise勒索病毒的狡猾之处:每一次变种都搭载不同的技术或算法,与此前存在巨大差异 。
千言万语还是一句话,零日认为应警惕新一轮的Paradise勒索攻击,并建议企业:
1. 赶紧对重要数据文件进行非本地备份,时刻注意;
2. 千万要及时修复漏洞、打补丁,升级登录口令并避免使用同一口令;
3. 警惕不明来源的邮件及网站,不要乱下载不明来源的附件文件;
4. 一定要减少/关闭不必要的文件共享权限 。
零日反思
勒索病毒的逃避技术远超我们想象,它们想尽办法利用新方式或技术超越基本防御措施,而大家对它们的了解却并不广泛 。今天,我们了解了一种Paradise勒索病毒新变种,但这只是其庞大家族的冰山一角,勒索病毒更新迭代千变万化,却仍是网络安全的重要杀手 。
- 莎士比亚四大悲剧和四大喜剧 莎士比亚四大悲剧 《激流三部曲》
- 玄幻小说排行榜2022前十名完结 玄幻小说排行榜 10本神作级的玄幻小说
- 哈利波特演员表配图片 哈利波特演员表 哈利波特女角色表
- 我脑中的橡皮擦豆瓣 我脑中的橡皮擦 《我脑中的橡皮擦》
- 粤语歌曲经典老歌歌单 粤语歌曲经典老歌 叶倩文《潇洒走一回》
- 退役军人保障法 退役军人保障法细则
- 融梗是什么意思
- 陈奕迅《是但求其爱》歌词全文
- 汉武托孤
- 书读五车