发现Java编写新型勒索病毒“Tycoon”!可跨越Windows和Linux进行感染!
Published byBlackBerry资安研究单位日前与KPMG的UK Cyber Response Services进行合作,还发现了一款以Java编写的新型勒索病毒”Tycoon“。单值得庆幸的是,该勒索病毒虽然已经存在了几个月,但目前没有出现大规模感染状况,因此相信这种新型勒索病毒具有非常高的针对性。
据BlackBerry指出,研究人员最早发现到”Tycoon”是在去年12月。这款可以跨越Windows和Linux的多平台新型勒索病毒,利用特殊的Java映像档格式来规避安全软件的侦测,并且透过其针对性强的感染途径,渗透到教育和软件行业的中小型公司和机构中,透过加密档案服务器来要求受害公司支付赎金。
经过分析发现“Tycoon”透过暴露在网络的远程桌面协议(Remote Desktop Protocol,RDP)入侵企业网络,并进入企业服务器里寻找管理员的凭证。在获取了管理员凭证后,“Tycoon”就会禁用防毒软体和安装骇客软件,并留下后门离开。之后“Tycoon”会再次透过RDP跳转到被攻击的服务器,并以该服务器作为枢纽,链接到企业的各个系统,并执行骇客软件,逐一对企业网络里的电脑和服务器进行感染,安装勒索病毒。
不仅如此,“Tycoon”还使用了映像档劫持(Image File Execution Options,IFEO)注入技术储存在Windows注册表中,让“Tycoon”可以使用骇客攻击工具禁用企业网路的安全解决方案并规避安全软件的侦查并,同时对所有档案伺服器以及备份系统加密,使得受害企业无法存取系统。
BlackBerry指出,“Tycoon”是以ZIP档案的方式传播感染,而ZIP档案中就包含了一个被编译成为Java映像档(JIMAGE)的恶意软件。据BlackBerry的研究人员表示,JIMAGE是一种特殊的档案格式,可以储存自定义的JRE映像档,其包含了特定的Java模组资源和类别档案。与常用的JAR格式不同,JIMAGE通常用于JDK内部,因此一般开发者很少使用。
为了加快加密过程,“Tycoon”还会跳过大档案,为求更快地让整个系统无法使用。“Tycoon”使用AES-256演算法来对档案进行加密,并以10MB为单位将档案加密成档案块。研究人员表示,因为“Tycoon”使用非对称的RSA演算法对AES金钥进行加密,因此要解密档案就需要“Tycoon”的RSA私钥。日前网络上有受害者发布了RSA私钥,在经过研究人员实验后,发现该RSA私钥可以破解最早版的“Tycoon”勒索病毒,但对于最新版的“Tycoon”则无效。
参考来源:BlackBerry
今天你洗手了吗?全民做好防疫准备,齐心抵御新冠肺炎入侵! 点击追踪 >> 新冠肺炎疫情动态
*部分照片取自网络,内容皆由MOJO平台的MOJO投稿员归有,若想参考请附加此文的链接。照片或文章如有侵犯版权问题请告知,谈谈网必定删除,谢谢!*