吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9811|回复: 85
收起左侧

[PC样本分析] 疑似借助畅捷通某款软件的勒索攻击爆发 火绒安全可查杀

   关闭 [复制链接]
火绒安全实验室 发表于 2022-8-29 21:12
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-9-7 13:47 编辑

火绒安全实验室监测,疑似借助畅捷通某款软件传播的勒索病毒模块异常活跃(FakeTplus病毒)。火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的畅捷通某款软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。

Image-0.png
火绒安全查杀图




排查发现,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被AES算法加密的)。之后通过后门模块在内存中加载执行勒索病毒,根据火绒威胁情报系统统计得出病毒传播趋势,如下图所示:

Image-1.png


FakeTplus病毒传播趋势图



在被投毒的现场中可以看到,后门病毒模块位于畅捷通某款软件bin目录中,相关文件情况如下图所示:

Image-2.png

被投毒现场后门病毒模块文件位置情况

某被投毒现场中,后门病毒模块的被投放时间,与受害用户使用的畅捷通某款软件模块升级时间相近,畅捷通某款软件更新的文件和恶意模块的时间对比图,如下图所示:

Image-3.png

时间对比图


被勒索后,需要支付0.2个比特币(目前大概27439人民币),黑客留下的勒索信,如下图所示:

Image-4.png

勒索信

Image-5.png

后门模块代码逻辑


附录

病毒 HASH

Image-6.png

免费评分

参与人数 22吾爱币 +18 热心值 +19 收起 理由
北冥鱼 + 1 我很赞同!
断头台下出孝子 + 1 + 1 我很赞同!
wjooxx + 1 + 1 用心讨论,共获提升!
liheshang + 1 我很赞同!
Agreement + 1 + 1 我很赞同!
32154678925 + 1 + 1 热心回复!
weidechan + 1 我很赞同!
鸣蜩十四 + 1 + 1 谢谢@Thanks!
chenxiran + 1 + 1 谢谢@Thanks!
crazycannon + 1 + 1 谢谢@Thanks!
天生云龙 + 1 + 1 热心回复!
2xinyu + 1 + 1 我很赞同!
恋爱选举巧克力 + 1 + 1 我很赞同!
fanny188 + 1 希望早日放出解密工具,很多公司停摆。
logafo + 1 + 1 用心讨论,共获提升!
清风阁丶Hunter + 1 + 1 T+实施,三个客户中奖,我裂开
脸到用时方恨丑 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
小tg + 1 + 1 鼓励转贴优秀软件安全工具和文档!
liwei8515 + 1 用心讨论,共获提升!
马克 + 1 火绒客服态度差,垃圾
15241400813 + 1 鼓励转贴优秀软件安全工具和文档!
度娘灬魂手 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

dswuying 发表于 2022-8-30 11:49
还好服务器用的是带备份的。还原了前一天的数据。完美搞定
nmhli 发表于 2022-8-29 21:29
我这边也是 ,已经安装火绒了 但是没有拦截成功
shixin 发表于 2022-8-29 21:25
现在能解决这个病毒及产生的影响吗?朋友公司服务费上的文件都被加密,增加扩展名.locked
lsy832 发表于 2022-8-29 21:28
谢谢分享
5151diy 发表于 2022-8-29 21:45
很多会下载用友畅捷通T进行 会计软件训练
sheyong 发表于 2022-8-29 21:47
会计人前来学习
孤狼微博 发表于 2022-8-29 22:17
等待解决方案
wantwill 发表于 2022-8-29 22:31
学习一下,谢谢大佬
彼岸花开丶 发表于 2022-8-29 22:39
我都不配被勒索
ych13846701169 发表于 2022-8-29 22:41
了解了,小心操作啊,谢了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 02:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表