正在进行的malspam活动假装是未付款的发票。当这些发票打开时,他们会安装AZORult信息窃取Trojan和Hermes 2.1 Ransomware到收件人的计算机上。
此次活动的最新样本由安全研究员Yves Agostini与BleepingComputer共享,后者被确定为安装了AZORult和Hermes 2.1。
Svarer @yvesago @malwrhunterteam @benkow_ 该文件似乎删除了一个名为azo.exe(#Azorult)https://t.co/2hay2UVnxo 的文件和一个名为hrms.exe的文件,这是Hermes #ransomware。https://t.co/uwfOKeO4bW pic.twitter.com/ASsiJ96p3z - §Êʪª····················································· (@ Jan0fficial)2018年8月17日
这些垃圾邮件的主题为“发票到期”,并假装是包含名为Invoice.doc的Word文档附件的未结余额,如下所示。
这些Word文档附件受密码保护,以使防病毒供应商更难以将其检测为恶意。这些附件的密码在malspam中给出,在上面的例子中,密码是1234。
收件人输入密码后,将会显示“ 启用内容” 提示。对于那些不熟悉此按钮的用户,一旦单击它,Word将启用宏或其他嵌入式脚本,然后执行这些脚本。
在这种情况下,当您单击启用内容时,将下载并执行AZORult Trojan(azo.exe),然后下载并执行Hermes 2.1 Ransomware(hrms.exe)。
Hermes 2.1 Ransomware将首先执行并加密计算机上的文件。这种特殊的勒索软件不会改变文件名,所以你知道自己被感染的唯一方法就是找到DECRYPT_INFORMATION.html赎金票据,如下所示。
跟过去一样,要小心假发票或其他未知附件。此外,永远不要打开附件,除非您期望发件人并确认他们确实已将其发送给您。否则,你永远不会知道你将要打开什么,并还有可能收到病毒感染。
Hermes 2.1 Ransomware: 416235b085b6b86640cac3a78f0bd52583eed7154fc3666f5338bde96db10fab
AZORult: 6ef12546c720ca40303dbf1ec391c967e5e0446c1e719d44001d3dcd2c2b8460
Subject: Invoice Due
This is to inform you that there is still an outstanding payment of $12,340 USD. We would appriciate it if this could be settled no later than the 20th.
I have attached the current invoice and the password for the document is: 1234
Thank you.
Federico Crowley
领取专属 10元无门槛券
私享最新 技术干货