垃圾郵件傳播新型FTCode無(wú)文件勒索病毒實(shí)例分析

今天就跟大家聊聊有關(guān)垃圾郵件傳播新型FTCode無(wú)文件勒索病毒實(shí)例分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

目前勒索病毒仍然是全球最大的威脅，最近一年針對(duì)企業(yè)的勒索病毒攻擊越來(lái)越多，不斷有新型的勒索病毒出現(xiàn)，各企業(yè)一定要保持高度的重視，大部分勒索病毒是無(wú)法解密的，近期國(guó)外安全研究人員發(fā)現(xiàn)了一款基于PowerShell腳本的勒索病毒FTCode，此勒索病毒主要通過(guò)垃圾郵件進(jìn)行傳播。

國(guó)外某獨(dú)立惡意軟件安全研究人員曝光了一個(gè)新型的FTCode PowerShell勒索病毒，如下所示：

此勒索病毒主要通過(guò)垃圾郵件進(jìn)行傳播，發(fā)送的垃圾郵件會(huì)附加一個(gè)壓縮包，壓縮包里面包含一個(gè)惡意的DOC文檔，從app.any.run上下載到相應(yīng)DOC樣本，打開(kāi)DOC文件，如下所示：

啟動(dòng)惡意宏代碼，相應(yīng)的文檔內(nèi)容，如下所示：

惡意宏代碼，啟動(dòng)PowerShell進(jìn)程執(zhí)行腳本，如下所示：

從惡意服務(wù)器下載PowerShell腳本執(zhí)行，服務(wù)器URL地址：

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打開(kāi)惡意服務(wù)器腳本，如下所示：

從惡意服務(wù)器下載VBS腳本，然后設(shè)置計(jì)劃任務(wù)自啟動(dòng)項(xiàng)，如下所示：

相應(yīng)的計(jì)劃任務(wù)自啟動(dòng)項(xiàng)WindowsApplicationService，如下所示：

惡意服務(wù)器URL：hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&，腳本內(nèi)容，如下所示：

解密后的VBS腳本，是一個(gè)PowerShell腳本，如下所示：

再次解密PowerShell腳本之后為一個(gè)惡意軟件下載器，會(huì)下載安裝其他惡意軟件，內(nèi)容如下所示：

下載完VBS腳本，設(shè)置計(jì)劃任務(wù)之后，F(xiàn)TCode PowerShell惡意腳本會(huì)解密內(nèi)置字符串生成一個(gè)RSA加密密鑰，如下所示：

刪除磁盤(pán)卷影，操作系統(tǒng)備份等，如下所示：

然后開(kāi)始加密文件，對(duì)指定的文件后綴進(jìn)行加密，加密后的文件后綴名FTCODE，如下所示：

加密后的文件，如下所示：

在每個(gè)加密的文件目錄生成勒索提示信息HTM文件READ_ME_NOW.htm，內(nèi)容如下所示：

看完上述內(nèi)容，你們對(duì)垃圾郵件傳播新型FTCode無(wú)文件勒索病毒實(shí)例分析有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。