安全人员发现基于.NET平台且使用开源项目的勒索软件

Zscaler 的安全研究人员发现两款新的基于 .NET 平台的勒索软件，它们使用了开源项目以加密用户的文件。

成都创新互联坚持“要么做到，要么别承诺”的工作理念，服务领域包括：成都网站建设、成都网站设计、企业官网、英文网站、手机端网站、网站推广等服务，满足客户于互联网时代的港南网站设计、移动媒体设计的需求，帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴！

被称为 Vortex 和 BUGWARE 的两款勒索软件可实现在线攻击，例如通过发送包含恶意 URL 的垃圾邮件进行传播和攻击，它们都已被编译成微软中间语言(MSIL)，并用'Confuser'工具对代码进行了混淆加密。

Vortex 勒索软件使用了 AES-256 位加密来对受害者机器中的图像、视频、音频、文档，以及其他潜在的重要数据文件进行加密。 

加密完成后，恶意软件会尝试通过创建注册表项以及名为“AESxWin”的注册表键来实现持久化。此外，安全人员还观察到恶意软件会删除受感染机器上的快照文件，以防止用户无需支付赎金即可恢复其数据。

在分析恶意软件的 command and control (C&C) 通信时，安全研究人员观察到它会发送系统信息并请求用于加密和解密密钥的密码 API。

Vortex 完全基于 AESxWin，这是一个免费的加密和解密工具，代码托管在 GitHub 上。因此，只要用于加密的密码是已知的，Zscaler 建议，可以使用 AESxWin 对文件进行解密。

另一款勒索软件 BUGWARE 使用了 Hidden Tear —— 曾被称为全球首款开源勒索软件的代码。Hidden Tear 也托管在 GitHub 上，不过我们看到它的仓库已经没有代码文件。

这款恶意软件会创建一个用于加密的路径列表并将其存储在一个名为 Criptografia.pathstoencrypt 的文件中。它还会搜索所有固定的网络和可移动驱动设备，并将这些路径添加到列表中。

安全研究人员观察到 BUGWARE 生成的加密密钥也使用了 AES-256 位加密，以对用户的文件进行加密，和重命名加密的文件。AES 密钥使用 RSA 公共密钥进行加密，并将 base64 编码密钥保存在注册表中。

为了实现持久性，它会创建一个运行密钥，确保用户每次登录到计算机时都会执行该密钥。此外，如果检测到可移动驱动设备，它会在其中放置一个名为“fatura-vencida.pdf.scr.”的副本。

当前标题：安全人员发现基于.NET平台且使用开源项目的勒索软件
当前地址：http://www.shufengxianlan.com/qtweb/news17/247967.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联