mircop勒索软件福克斯,声称”受害者”

勒索软件行为已成为大家谈论的话题。我们已经看到了奇怪的长赎金支付期限从goopic,窃取密码的能力RAA从最新的支持,聊天拼图变,这些只是事件的发现六月。但在这些新的行为,我们在mircop加密勒索到一个独特的行为。

检测为ransom_mircop,mircop地归咎于用户并没有给受害者如何支付赎金。事实上,它假定受害者已经知道如何支付他们。


图1。mircop赎金

在偿还涂料,受害者已经知道谁送赎金的情况重点。全音符,这表现在 男人福克斯的面具,一个戴着兜帽的身影,表明受害者可能“偷”从一个臭名昭著的黑客组织威胁进一步的行动,如果受害者无力支付。

mircop要求用户支付48.48比特币的 赎金数额(28730.70美元截至2016年6月23日),这是我们见过的最高需求中。和结束时的注意事项,并留下一个比特币地址。不像其他勒索笔记,受害者被指示一步一步如何付款,mircop认为受害人是熟悉使得比特币交易。我们检查了地址和写这本书,也没有支付过。


图2。比特币支付地址

感染向量

mircop来自一个附件的垃圾邮件。该文件据称是一个 泰国海关进出口货物时使用的。该文件还启用了宏的文件,Windows PowerShell来执行 滥用的勒索软件下载。也有文本文档内启用宏。


图3。恶意附件

在用户打开文件并使宏,用户将连接到一个妥协的环节hxxp://www[.]blushy[.]nl/u/putty.exe.。下载并执行恶意软件。妥协的网站,奇怪的是,一个在线成人用品店,在荷兰链接。

一旦勒索被执行时,它滴三文件%temp%..exe是一种常规的窃取信息,而 x.exe和y.exe 加密文件。


图4。mircop载荷

而是把加密的文件的扩展名,mircop预备文件的字符串 “锁”。它也常用文件夹加密。当文件被打开时,文件的内容变为不可读的字符。


图5。附加文件及样品的被感染的文件

除了它的加密程序,mircop 也能够从程序如Mozilla火狐(Mozilla Firefox), (Google Chrome)谷歌浏览器,Opera, Filezilla, 和Skype。

在垃圾邮件的形式的社会工程可以导致感染,特别是当该恶意软件使用卑劣的手段如宏的恶意软件利用PowerShell附文件。用户应小心来历不明的接收邮件时,应避免下载和打开附件,如果任何。