近期，安全研究專家發(fā)現(xiàn)了一款非常有意思的惡意軟件，它會(huì)根據(jù)目標(biāo)用戶的電腦配置來決定到底用哪個(gè)方案來從用戶身上牟利。

[[237427]]

勒索軟件可以鎖定你的電腦，并通過對(duì)數(shù)據(jù)進(jìn)行加密來阻止你訪問自己電腦中的文件，直到你向攻擊者支付贖金才行，而非法挖礦軟件利用的是目標(biāo)用戶設(shè)備的CPU算力以及電能來挖加密貨幣。這兩種攻擊在這兩年里已經(jīng)成為了廣大用戶面臨的主要威脅，作為非針對(duì)性攻擊而言，這兩種攻擊具有一定的相似性，因?yàn)樗鼈儾粌H都需要從目標(biāo)用戶身上牟取利益，而且兩者都涉及到加密貨幣。

但是，鎖定目標(biāo)用戶的電腦并不一定能夠給攻擊者帶來利益，因?yàn)楹芏嘤脩舻碾娔X中并沒有存儲(chǔ)多少有價(jià)值的東西，因此很多攻擊者便開始通過利用目標(biāo)設(shè)備的CPU和電能來賺錢，也就是所謂的惡意挖礦。

卡巴斯基實(shí)驗(yàn)室的研究人員將這款惡意軟件命名為Rakhni勒索軟件，而且Rakhni近期更新得也比較頻繁，并提升了其挖礦能力。

Rakhni采用Delphi編寫，并通過微軟Word文檔附件(釣魚郵件)的形式進(jìn)行傳播，當(dāng)目標(biāo)用戶打開附件文檔之后，文件會(huì)提醒用戶保存文檔并啟用編輯功能。該文檔包含一個(gè)PDF圖標(biāo)，點(diǎn)擊之后便會(huì)在目標(biāo)用戶設(shè)備上運(yùn)行惡意可執(zhí)行文件，并立刻顯示偽造的錯(cuò)誤提示框，然后欺騙用戶讓他們以為系統(tǒng)缺失了相關(guān)的組件。

Rakhni如何判斷進(jìn)行哪種感染操作?

在后臺(tái)，Rakhni會(huì)進(jìn)行很多反虛擬機(jī)和反沙箱檢測(cè)操作，如果所有條件都滿足，它便會(huì)進(jìn)行下一步檢測(cè)來判斷使用哪一個(gè)感染Payload，即感染勒索軟件還是挖礦軟件。

1. 安裝勒索軟件：

目標(biāo)系統(tǒng)的AppData目錄中是否擁有跟“比特幣”相關(guān)的內(nèi)容?

在使用RSA-1024加密算法對(duì)文件進(jìn)行加密之前，惡意軟件會(huì)終止預(yù)定義列表中所有指定的熱門應(yīng)用進(jìn)程，并通過文本文件顯示勒索信息。

2. 安裝加密貨幣挖礦軟件：

若目標(biāo)系統(tǒng)中沒有跟“比特幣”相關(guān)的內(nèi)容，而設(shè)備又擁有兩個(gè)或以上的邏輯處理器。

如果系統(tǒng)感染了挖礦軟件，它便會(huì)使用MinerGate工具在后臺(tái)挖XMR、XMO換個(gè)DSH等加密貨幣。

除此之外，它還會(huì)使用CertMgr.exe工具來安裝偽造的證書，并聲稱該證書由微軟和Adobe公司發(fā)布，然后嘗試將挖礦軟件偽裝成合法進(jìn)程。

3. 激活蠕蟲組件：

若目標(biāo)系統(tǒng)中沒有跟“比特幣”相關(guān)的內(nèi)容，而設(shè)備又只擁有一個(gè)邏輯處理器。

這個(gè)組件將幫助惡意軟件在本地網(wǎng)絡(luò)設(shè)備中實(shí)現(xiàn)自我復(fù)制。

除了感染判斷之外，Rakhni還會(huì)檢測(cè)目標(biāo)設(shè)備是否運(yùn)行了反病毒軟件，如果沒有運(yùn)行，Rakhni將會(huì)運(yùn)行多個(gè)cmd命令來嘗試禁用Windows Defender。

竟然還有間諜軟件功能?

研究人員表示，Rakhni另一個(gè)非常有意思的地方就在于它還具備了某些間諜軟件功能，其中包括列舉正在運(yùn)行的進(jìn)程列表以及實(shí)現(xiàn)屏幕截圖。

這款惡意軟件主要針對(duì)的是俄羅斯地區(qū)的用戶(95.5%)，其中還有一小部分用戶位于哈薩克斯坦(1.36%)、烏克蘭(0.57%)、德國(guó)(0.49%)和印度(0.41%)等地。

緩解方案

保護(hù)用戶安全最好的方法就是不要打開郵件中嵌帶的可疑文件和鏈接，并定期更新你的反病毒軟件。除此之外，別忘了定期備份有價(jià)值的數(shù)據(jù)。