行业·发现 一款基于PowerShell脚本的勒索病毒FTC

发表时间:2019-11-06

  原标题:行业·发现 一款基于PowerShell脚本的勒索病毒FTCode正在以邮件传播

  目前,勒索病毒仍然是全球最大的威胁。据相关统计,最近一年,针对企业的勒索病毒攻击越来越多,且病毒类型也在不断创新。

  近期国外安全研究人员就发现了一款基于PowerShell脚本的勒索病毒FTCode,此勒索病毒主要通过垃圾邮件进行传播。

  安全研究人员对此类勒索病毒进行具体分析,发现其具体行为是:向攻击的目标发送垃圾邮件,其中附加一个压缩包,压缩包里面包含的是一个恶意DOC文档。

  之后,安全研究人员通过app.any.run下载到了相应的DOC样本进行进一步分析,具体分析如下:

  9. 再次解密PowerShell脚本之后为一个恶意软件下载器,会下载安装其他恶意软件,内容如下:

  10. 下载完VBS脚本,设置计划任务之后,FTCode PowerShell恶意脚本会解密内置字符串生成一个RSA加密密钥,香港马会开奖王中王。如下:

  12. 开始加密文件,对指定的文件后缀进行加密,加密后的文件后缀名FTCODE,如下所示:

  14. 在每个加密的文件目录生成勒索提示信息HTM文件READ_ME_NOW.htm,内容如下所示:

  最近一两年,针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,且大部分勒索病毒目前都是无法解密状态。

  MailData建议各企业,一定要保持高度的重视!企业安全,才可持续发展;而企业安全,防御大于“治疗”,别让一个小小的文档,毁了你的百万大单。


香港正版挂牌| 万料堂论坛| 2018香港正挂挂牌彩图| 黄大仙救世论坛| 六合图库六合之家| 天下彩坛论坛| www.581213.com| 精准六肖| 新跑狗报彩图| 8830444.com| 2016香港马会资料大全| 白小姐开奖网站|