近期，安全研究專家發(fā)現(xiàn)了一款非常有意思的惡意軟件，它會根據(jù)目標(biāo)用戶的電腦配置來決定到底用哪個方案來從用戶身上牟利。

[[237427]]

勒索軟件可以鎖定你的電腦，并通過對數(shù)據(jù)進(jìn)行加密來阻止你訪問自己電腦中的文件，直到你向攻擊者支付贖金才行，而非法挖礦軟件利用的是目標(biāo)用戶設(shè)備的CPU算力以及電能來挖加密貨幣。這兩種攻擊在這兩年里已經(jīng)成為了廣大用戶面臨的主要威脅，作為非針對性攻擊而言，這兩種攻擊具有一定的相似性，因?yàn)樗鼈儾粌H都需要從目標(biāo)用戶身上牟取利益，而且兩者都涉及到加密貨幣。

但是，鎖定目標(biāo)用戶的電腦并不一定能夠給攻擊者帶來利益，因?yàn)楹芏嘤脩舻碾娔X中并沒有存儲多少有價值的東西，因此很多攻擊者便開始通過利用目標(biāo)設(shè)備的CPU和電能來賺錢，也就是所謂的惡意挖礦。

卡巴斯基實(shí)驗(yàn)室的研究人員將這款惡意軟件命名為Rakhni勒索軟件，而且Rakhni近期更新得也比較頻繁，并提升了其挖礦能力。

Rakhni采用Delphi編寫，并通過微軟Word文檔附件(釣魚郵件)的形式進(jìn)行傳播，當(dāng)目標(biāo)用戶打開附件文檔之后，文件會提醒用戶保存文檔并啟用編輯功能。該文檔包含一個PDF圖標(biāo)，點(diǎn)擊之后便會在目標(biāo)用戶設(shè)備上運(yùn)行惡意可執(zhí)行文件，并立刻顯示偽造的錯誤提示框，然后欺騙用戶讓他們以為系統(tǒng)缺失了相關(guān)的組件。

Rakhni如何判斷進(jìn)行哪種感染操作?

在后臺，Rakhni會進(jìn)行很多反虛擬機(jī)和反沙箱檢測操作，如果所有條件都滿足，它便會進(jìn)行下一步檢測來判斷使用哪一個感染Payload，即感染勒索軟件還是挖礦軟件。

1. 安裝勒索軟件：

目標(biāo)系統(tǒng)的AppData目錄中是否擁有跟“比特幣”相關(guān)的內(nèi)容?

在使用RSA-1024加密算法對文件進(jìn)行加密之前，惡意軟件會終止預(yù)定義列表中所有指定的熱門應(yīng)用進(jìn)程，并通過文本文件顯示勒索信息。

2. 安裝加密貨幣挖礦軟件：

若目標(biāo)系統(tǒng)中沒有跟“比特幣”相關(guān)的內(nèi)容，而設(shè)備又擁有兩個或以上的邏輯處理器。

如果系統(tǒng)感染了挖礦軟件，它便會使用MinerGate工具在后臺挖XMR、XMO換個DSH等加密貨幣。

除此之外，它還會使用CertMgr.exe工具來安裝偽造的證書，并聲稱該證書由微軟和Adobe公司發(fā)布，然后嘗試將挖礦軟件偽裝成合法進(jìn)程。

3. 激活蠕蟲組件：

若目標(biāo)系統(tǒng)中沒有跟“比特幣”相關(guān)的內(nèi)容，而設(shè)備又只擁有一個邏輯處理器。

這個組件將幫助惡意軟件在本地網(wǎng)絡(luò)設(shè)備中實(shí)現(xiàn)自我復(fù)制。

除了感染判斷之外，Rakhni還會檢測目標(biāo)設(shè)備是否運(yùn)行了反病毒軟件，如果沒有運(yùn)行，Rakhni將會運(yùn)行多個cmd命令來嘗試禁用Windows Defender。

竟然還有間諜軟件功能?

研究人員表示，Rakhni另一個非常有意思的地方就在于它還具備了某些間諜軟件功能，其中包括列舉正在運(yùn)行的進(jìn)程列表以及實(shí)現(xiàn)屏幕截圖。

這款惡意軟件主要針對的是俄羅斯地區(qū)的用戶(95.5%)，其中還有一小部分用戶位于哈薩克斯坦(1.36%)、烏克蘭(0.57%)、德國(0.49%)和印度(0.41%)等地。

緩解方案

保護(hù)用戶安全最好的方法就是不要打開郵件中嵌帶的可疑文件和鏈接，并定期更新你的反病毒軟件。除此之外，別忘了定期備份有價值的數(shù)據(jù)。