导语:近日,网络安全公司Paladion的网络安全实验室发现了一款名为“DogHousePower”的新型勒索软件,该软件专门针对在Windows Server操作系统上运行的Web服务器和数据库服务器,而且有趣的是,它还被托管在GitHub上。
近日,网络安全公司Paladion的网络安全实验室发现了一款名为“DogHousePower”的新型勒索软件,该软件专门针对在Windows Server操作系统上运行的Web服务器和数据库服务器,而且有趣的是,它还被托管在GitHub上。
勒索软件分析
最开始,我们使用Hybrid Analysis VxStream沙箱和Windows虚拟机对该勒索软件的二进制文件“2.exe”进行了分析,结果发现,DogHousePower需要通过利用Apache Struts 2中的一个已知漏洞(CVE-2017-5638)来发起攻击,并使用Microsoft PowerShell提供勒索软件有效载荷,来进一步下载和传播勒索软件。
赎金需求
赎金通知中的部分内容显示为中文信息,很可能是被用于误导受害者和分析人员追溯DogHousePower的真实消息来源。此外,赎金金额要求是相当于5000元人民币的比特币,这可能表明,DogHousePower勒索软件针对的是亚洲或源自亚洲的人群。
根据赎金通知要求,受害人需要在3天之内向提供的地址支付5000元赎金。勒索者表示,赎金价格可以进行进一步协商,但是如果受害者在3天内未支付5000元赎金,那么赎金金额将上升至价值6000元人民币的比特币,如果超过7天还未支付赎金,那么则需要支付价值7000元人民币的比特币。最后,该赎金通知警告称,如果在13天内没有收到受害者支付的赎金,那么其文件将永远无法解密。
为了在付款后对文件进行解密,勒索者还提供了一个联系电子邮件地址([email protected])供受害者发送赎金、截屏以及ID信息。此外,勒索者还表示,这些被加密的文件将通过电子邮件进行解密,每封电子邮件不应超过10MB。
勒索通知中还提供了多种语言版本,其中包括英语、俄语、西班牙语以及中文等,并提供了一份“在中国如何购买比特币”的说明文档。
攻击者的另一份通知中还表示,他们正在考虑允许用户像往常一样访问Windows、文档以及设置等程序。
勒索软件家族
研究人员在对赎金通知中提供的电子邮件地址和ZCash账户进行研究时发现,DogHousePower很有可能是基于“.BELGIAN_COCOA”、“.MyChemicalRomance4EVER”、“LambdaLocker”、“Pickles”以及“CryPy”勒索软件演变发展而来的。
安全建议
DogHousePower勒索软件针对的是Apache Struts 2中的一个已知漏洞——CVE-2017-5638来发起攻击的,所以,组织机构应该立即修补这一安全漏洞以保护其自身安全。此外,关于该勒索软件的安全更新信息,我们也将进行追踪报道,敬请关注!