频道澳门葡京手机版网址
登录注册
澳门葡京手机版网址 > 安全 > 网络安全 > 正文

Rakhni:你的电脑适合挖矿还是感染恶意App?

2018-10-19 10:17:53         来源:[db:编辑]  
收藏   我要投稿

近期,安全研究专家发现了一款非常有意思的恶意App,它会根据目标用户的电脑配置来决定到底用哪个方案来从用户身上牟利。
勒索App可以锁定你的电脑,并通过对数据进行加密来阻止你访问自己电脑中的文件,直到你向攻击者支付赎金才行,而非法挖矿App利用的是目标用户设备的CPU算力以及电能来挖加密货币。这两种攻击在这两年里已经成为了广大用户面临的主要威胁,作为非针对性攻击而言,这两种攻击具有一定的相似性,因为它们不仅都需要从目标用户身上牟取利益,而且两者都涉及到加密货币。
但是,锁定目标用户的电脑并不一定能够给攻击者带来利益,因为很多用户的电脑中并没有存储多少有价值的东西,因此很多攻击者便开始通过利用目标设备的CPU和电能来赚钱,也就是所谓的恶意挖矿。
卡巴斯基实验室的研究人员将这款恶意App命名为Rakhni勒索App,而且Rakhni近期更新得也比较频繁,并提升了其挖矿能力。

Rakhni采用Delphi编写,并通过MicroSoftWord文档附件(钓鱼邮件)的形式进行传播,当目标用户打开附件文档之后,文件会提醒用户保存文档并启用编辑功能。该文档包含一个PDF图标,点击之后便会在目标用户设备上运行恶意可实行文件,并立即显示伪造的错误提示框,然后欺骗用户让他们以为系统缺失了相关的组件
Rakhni如何判断进行哪种感染操作?
在后台,Rakhni会进行很多反虚拟机和反沙箱检测操作,如果所有条件都满足,它便会进行下一步检测来判断使用哪一个感染Payload,即感染勒索App还是挖矿App。
1.安装勒索App:目标系统的AppData目录中是否拥有跟“比特币”相关的内容?
在使用RSA-1024加密算法对文件进行加密之前,恶意App会终止预定义列表中所有指定的热门应用进程,并通过文本文件显示勒索信息。
2.安装加密货币挖矿App:若目标系统中没有跟“比特币”相关的内容,而设备又拥有两个或以上的逻辑处理器。
如果系统感染了挖矿App,它便会使用MinerGate工具在后台挖XMR、XMO换个DSH等加密货币。

除此之外,它还会使用CertMgr.exe工具来安装伪造的证书,并声称该证书由MicroSoft和Adobe企业发布,然后尝试将挖矿App伪装成合法进程。
3.激活蠕虫组件:若目标系统中没有跟“比特币”相关的内容,而设备又只拥有一个逻辑处理器。
这个组件将帮助恶意App在本地网络设备中实现自我复制。
除了感染判断之外,Rakhni还会检测目标设备是否运行了反病毒App,如果没有运行,Rakhni将会运行多个cmd命令来尝试禁用Windows Defender。
竟然还有间谍App功能?
研究人员表示,Rakhni另一个非常有意思的地方就在于它还具备了某些间谍App功能,其中包括列举正在运行的进程列表以及实现屏幕截图。
这款恶意App主要针对的是俄罗斯地区的用户(95.5%),其中还有一小部分用户位于哈萨克斯坦(1.36%)、乌克兰(0.57%)、德国(0.49%)和印度(0.41%)等地。
缓解方案
保护用户安全最好的方法就是不要打开邮件中嵌带的可疑文件和链接,并定期更新你的反病毒App。除此之外,别忘了定期备份有价值的数据。

上一篇:gpSystem:一种可私自注册谷歌账号的病毒
下一篇:“镜像杀机”劫持澳门葡京手机版网址木马分析
相关文章
图文推荐

关于大家 | 联系大家 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 澳门葡京手机版网址_澳门新莆京娱乐_www.88807.com - 点此进入--致力于做实用的IT技术学习网站

XML 地图 | Sitemap 地图