记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新版Fox 勒索软件将强行关闭所有文件句柄

2018-08-22 01:45

目前已发现这版Fox Ransomware 勒索软件(Matrix Ransomware勒索软件的变体)能够重命名加密文件,然后将“.FOX”扩展名附加到文件名上。有意思的一点是,这款勒索软件为了确保用户打不开任何一个文件以及方便黑客进行加密操作,因此这一过程比较缓慢。唯一还值得庆幸的在于,正是由于这种缓慢,攻击行为也相对容易被检测出来。

这一勒索软件最初是由MalwareHunterTeam的安全研究人员发现的。软件是通过运行远程桌面服务并公开连接到互联网的计算机进行安装的,攻击者将扫描IP地址的范围以查找打开的RDP服务,然后暴力破解密码。

一旦可以访问计算机,他们将手动安装勒索软件。软件会显示各种控制台窗口,提示计算机加密的进度。不幸的是,目前针对这一勒索软件还无法进行免费解密。

Fox勒索软件如何加密计算机

Fox Ransomware勒索软件是Matrix Ransomware勒索软件的变体,与其前身一样活跃,它与其“命令和控制”服务器进行了大量的通信,并且还显示了提供加密过程状态更新的控制台。

Fox Ransomware勒索软件被执行后,它将连接到“命令和控制”服务器并开始记录加密过程的各个阶段。在加密过程中,它将与C2频繁通信以提供状态更新。

将开始阶段记录添加到C2

同时它还会打开两个控制台窗口,显示当前加密进度,以便攻击者可以监视。第一个窗口显示的是加密过程的更新状态,而另一个显示的则是经扫描开放共享的网络地址。

加密状态控制台

网络驱动器控制台

之后,勒索软件将删除一个批处理文件,该文件将彻底关闭它将要加密的文件的所有文件句柄(已打开的)。它通过从文件中删除所有属性,更改权限,获取所有权,最后使用Sysinternals 重命名版本的Handle.exe程序来关闭所有已打开文件句柄来实现此目的。

关闭打开的文件句柄

它将首先针对每个加密的文件执行上述批处理文件,然后加密该文件。加密文件后,重命名该文件并将“.FOX”扩展名附加到加密文件的文件名。例如,文件将被加密并重命名为[PabFox@protonmail.com] .cAE5V4FC-wwWa0jxY.FOX。

下面是该加密文件夹:

加密的FOX文件夹

在创建文件的每个文件夹中,它将创建一个名为“#FOX_README#.rtf”的勒索信,其中包含有关如何联系攻击者进行付款的说明。在这张勒索信上列出的电子邮件是PabFox@protonmail.com,FoxHelp@cock.li和FoxHelp@tutanota.com,其中还附有一个Bitmessage id可供联系以获取相关信息。

勒索信

桌面背景也将更改为勒索信的精简版本:

桌面背景

在加密过程结束时,将启动%AppData%文件夹中随机命名的“.vbs”文件,用来注册一项名为DSHCA的预定任务。此任务用于运行具有管理权限的批处理文件,这一管理权限将执行计算机清理并禁用各种修复功能。

这一批处理文件也位于%AppData%文件夹中,将使用WMIC,powershell和vssadmin来删除卷影副本,移除Windows恢复启动功能,并删除VBS文件,预定任务及其自身。

好消息是,由于勒索软件如此努力地想要关闭与其尝试加密文件相关联的所有文件句柄,因此加密过程非常缓慢。这允许用户在进程完全完成之前可能发现攻击行为。如上所述,即使被此勒索软件加密的所有文件都是安全的,目前仍无法免费解密。

如何免受Fox Ransomware 的侵害

为了保护自己免受勒索软件的侵害,养成良好的使用电脑的习惯和安装安全软件非常重要。首先,您应始终拥有可靠且经过测试的数据备份,以便在紧急情况下(例如勒索软件攻击)可以恢复数据。

由于Fox Matrix Ransomware变种是通过被黑客入侵的远程桌面服务安装的,因此确保桌面正确锁定非常重要。这包括确保没有正在运行远程桌面服务的计算机直接连接到互联网。将运行远程桌面的计算机置于VPN之下,这样就只有在网络上拥有VPN帐户的人才能访问它们。

设置正确的帐户锁定策略也很重要,这样会使帐户难以通过远程桌面服务被强制攻击。

您还应该安装安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式扫描。例如,Emsisoft Anti-Malware和Malwarebytes Anti-Malware 都包含行为检测,可以防止许多勒索软件感染加密计算机。

最后,养成良好的网络安全习惯。以下是在很多情况下都适用的几个重要步骤:

1.备份!备份!备份!

2.不要点开来历不明的附件。

3.在确认该人确实给你发了附件之前不要点开。

4.用VirusTotal之类的附件扫描附件。

5.立即安装所有的Windows更新!还要及时更新所有程序,尤其是Java,Flash和Adobe Reader。较旧的程序包含恶意软件分发者通常利用的安全漏洞。因此,更新它们非常重要。

6.安装安全软件。

7.使用强密码,而且永远不要在多个网站使用一样的密码。

8.如果您使用的是远程桌面服务,请不要直接将其连接到互联网,一定要挂上VPN之后在使用。

知识来源: www.mottoin.com/reports/112595.html

阅读:59693 | 评论:0 | 标签:安全报告

想收藏或者和大家分享这篇好文章→复制链接地址

“新版Fox 勒索软件将强行关闭所有文件句柄”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云