首页 > 新闻中心 > 新勒索软件“Defray”可通过Microsoft Word文档传播

新勒索软件“Defray”可通过Microsoft Word文档传播


我们最初观察到该勒索病毒的命令和控制(C&C)服务器主机名为:“defrayable-listings[.]000webhostapp[.]com”。因此,我们将它取名为“Defray”。巧合的是动词defray在英文当中,正是指提供资金支付一部分成本或费用的意思,但至于受害者具体支付了多少赎金我们不得而知。

Defray的传播形式

最初,受害者会接收到一封电子邮件,该邮件中则包含了一份嵌入式可执行恶意Word文档附件,特别是OLE package shell对象。

恶意Word文档看起来像是份专利医学报告,并标有英国医院的信息管理与技术部门的标志。

接着,它会强制受害者双击该可执行文件以启动进程。

一旦受害者进行了双击操作,Defray就会像其他勒索软件一样被删除,并在%TMP%文件夹中启动一个名为taskmgr.exe或explorer.exe的伪装进程并执行。

最终,受害者将会收到文件被加密并要求支付赎金的提示信息。

该勒索软件会在系统的许多文件夹中创建FILES.TXT文件(图3)。 HELP.txt与FILES.txt文件的内容是相同的,该文件同时还会在执行勒索软件的桌面文件夹中。

根据提示信息,勒索者要求受害者向其支付价值5000美金的比特币赎金才能恢复被加密的文件。

勒索者还提供了一个电子邮件账号,用于与受害者进一步的沟通协商。

Defray支持对以下文件扩展名的加密:


Proofpoint报道:“Defray通过HTTP和HTTPS协议与外部C&C服务器进行通信,并向其报告感染信息。”

最后,Defray会加密文件并禁用启动恢复和删除卷影副本。

在Windows 7上,Defray使用GUI监视和杀死运行的程序,例如任务管理器和浏览器。

                                                                                                                                                                                                        转自FreeBuf.COM