利用“永恒之蓝”漏洞的Yatron勒索软件

关注 2019-04-11 06:22:00 查看数 9141 ,评论数 0 资讯


一款名为Yatron的勒索软件在推特上宣称要利用EternalBlue和DoublePulsar漏洞感染其他计算机,如72小时内不付款还将删除加密文件。


Yatron的勒索软件

开发者推文


与其他勒索软件一样,该软件执行时也会扫描计算机中的目标文件、并对其进行加密,并将扩展名“.Yatron ” 附加到加密文件,如下图:

加密的Yatron文件


完成加密文件后,它会将加密密码和唯一ID发送回勒索软件的命令和控制服务器。根据Gillespie的说法,这个勒索软件基于HiddenTear,但其加密算法已被修改,因此无法使用当前方法对其进行解密。


一旦加密完成,事情开始变得更有趣。


Yatron里所含代码使用“永恒之蓝”和“DoublePulsar”漏洞传播到Windows设备上,与早就该修补的SMBv1漏洞用了同一个网络,所幸利用代码不够完整、目前还不包括所赖的Eternalblue-2.2.0.exe和Doublepulsar-1.3.1.exe可执行文件。


但是,一些代码尝试配置变量来执行下图中的利用命令。

配置多个变量进行漏洞利用

如所需的可执行文件已经存在于计算机上,勒索软件便尝试触发,如下图:

执行永恒之蓝利用命令


除利用漏洞之外,Yatron还尝试通过通过P2P程序将勒索软件可执行文件复制到Kazaa,Ares,eMule等程序使用的默认文件夹进行传播,在这些程序启动时,勒索软件自动通过P2P客户端共享。

P2P共享


完成后,勒索软件会显示一个72小时倒计时的界面,直到加密文件被删除。为防止文件被删除,用户可以使用像Process Explorer这种工具以管理员身份运行,终止勒索流程。

Yatron勒索软件


作为RaaS推广


Yatron被推广为Ransomware-as-a-Service,但其与大多数RaaS服务的做法略有不同。 通常情况下,当想要加入RaaS的犯罪分子时,开发人员会收取所有提交的赎金付款的收益分成。例如,一些RaaS服务将收取所有赎金支付的20%,而同伙/分销商获得剩余的80%;而Yatron开发商与另一款名为“Jokeroo”的RaaS一样,以100美元的比特币出售,之后不再付费。

Yatron RaaS服务


与所有RaaS产品一样,Yatron承诺提供FUD可执行文件,其可加密计算机及删除卷影副本。此勒索软件还通过P2P,USB和LAN进行传播。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...