安全路透社
当前位置:安全路透社 > 安全客 > 正文

【恶意软件】勒索软件Sage 2.2新变种将魔爪伸向更多国家

http://p8.qhimg.com/t011af81f5b223c811d.png


简介


在去年2月份的时候,我们发表了关于Sage 2.0的文章,并在3月发现了2.2版,但从此之后,FortiGuard实验室团队已经有6个多月没有发现这种恶意软件的重大活动踪迹了。因此,Sage勒索软件的变种好像已经淡出恶意软件的江湖了。

然而,我们最近又发现了Sage的新样本,虽然该样本看上去仍然是Sage 2.2,但现在已经增加了专门用于对抗分析和提权等功能。在本文中,我们将分享这些最新的发现。

通过Kadena威胁情报系统,我们已经确认该恶意软件是通过垃圾邮件来传播的,这些邮件带有恶意的JavaScript附件,之后,这些代码会下载新型的Sage 2.2变种。 

 

绕过UAC


这个恶意软件用来绕过UAC的技术本身也是老套路,但是,这是我们第一次发现Sage使用该技术。 它使用eventvwr.exe和注册表劫持来防止UAC弹出窗口。图5给出了这个技术的原理示意图。我们还在之前一篇文章中详细解释过这种技术。

图13  FortiSandbox可以检测Sage并给予高风险等级

解决方案:

FortiMail会阻止所有垃圾邮件。

FortiGuard防病毒服务会将Sage样本识别为为W32/SageCrypt.KAD!tr。

FortiGuard Webfilter服务将阻止所有下载,并将相应的网址标记为恶意网站。

FortiSandbox会将Sage样本评估为高风险软件。 

-= FortiGuard Lion Team =-

IOC


884263ac1707e15e10bcc796dfd621ffeb098d37f3b77059953fc0ebd714c3df – W32/SageCrypt.KAD!tr

00f1e3b698488519bb6e5f723854ee89eb9f98bdfa4a7fe5137804f79829838e – W32/Sage.KAD!tr

0eb72241462c8bfda3ece4e6ebbde88778a33d8c69ce1e22153a3ed8cf47cc17 – W32/Sage.KAD!tr

2b0b7c732177a0dd8f4e9c153b1975bbc29eef673c8d1b4665312b8f1b3fb114 – W32/Sage.KAD!tr

43921c3406d7b1a546334e324bdf46c279fdac928de810a86263ce7aa9eb1b83 – W32/Sage.KAD!tr

47a67a6fb50097491fd5ebad5e81b19bda303ececc6a83281eddbd6bd508b783 – W32/Sage.KAD!tr

5b7d2b261f29ddef9fda21061362729a9417b8ef2874cc9a2a3495181fc466d0 – W32/Sage.KAD!tr

a14ee6e8d2baa577a181cd0bb0e5c2c833a4de972f2679ca3a9e410d5de97d7e – W32/Sage.KAD!tr

b381d871fcb6c16317a068be01a7cb147960419995e8068db4e9b11ea2087457 – W32/Sage.KAD!tr

bbc0e8981bfca4891d99eab5195cc1f158471b90b21d1a3f1abc0ee05bf60e93 – W32/Sage.KAD!tr

cb6b6941ec104ab125a7d42cfe560cd9946ca4d5b1d1a8d5beb6b6ceb083bb29 – W32/Sage.KAD!tr

df64fcde1c38aa2a0696fc11eb6ca7489aa861d64bbe4e59e44d83ff92734005 – W32/Sage.KAD!tr

eff34c229bc82823a8d31af8fc0b3baac4ebe626d15511dcd0832e455bed1765 – W32/Sage.KAD!tr

f5f875061c9aa07a7d55c37f28b34d84e49d5d97bd66de48f74869cb984bcb61 – W32/Sage.KAD!tr

f93c77fd1c3ee16a28ef390d71f2c0af95f5bfc8ec4fe98b1d1352aeb77323e7 – W32/Kryptik.FXNL!tr

903b0e894ec0583ada12e647ac3bcb3433d37dc440e7613e141c03f545fd0ddd – W32/Kryptik.DMBP!tr

c4e208618d13f11d4a9ed6efb805943debe3bee0581eeebe22254a2b3a259b29 – W32/GenKryptik.AZLB!tr

e0a9b6d54ab277e6d4b411d776b130624eac7f7a40affb67c544cc1414e22b19 – W32/Kryptik.FXNL!tr


原文链接:https://blog.fortinet.com/2017/10/29/evasive-sage-2-2-ransomware-variant-targets-more-countries

未经允许不得转载:安全路透社 » 【恶意软件】勒索软件Sage 2.2新变种将魔爪伸向更多国家

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册