一款玩俄罗斯轮盘的勒索程序:TeslaWare

时间:2022-04-29
本文章向大家介绍一款玩俄罗斯轮盘的勒索程序:TeslaWare,主要内容包括TeslaWare正被黑客在网上出售、TeslaWare可被解密、玩俄罗斯轮盘游戏的TeslaWare、TeslaWare具有创建共享和蠕虫的能力、IOCs、基本概念、基础应用、原理机制和需要注意的事项等,并结合实例形式分析了其使用技巧,希望通过本文能帮助到大家理解应用这部分内容。

据Emsisoft的安全研究员xXToffeeXx介绍,一款名为TeslaWare的勒索程序正被黑客在网上进行推广和出售。xXToffeeXx告诉我们,他已经获取到了该勒索程序的样本文件,并对其进行了深入的研究。**令xXToffeeXx感到惊讶的是,他发现了TeslaWare的营销海报,一份制作精美和有着巨大吸引力的海报。**

TeslaWare正被黑客在网上出售

黑客目前正在网上以35~70欧元的价格出售TeslaWare勒索程序,而具体价格则取决于买家对于勒索程序的定制要求。此外为了吸引买家,出售TeslaWare的黑客论坛,更是为其精心设计了一份专门的营销海报。该海报不仅结合了特斯拉汽车的标志,还对勒索程序的规格价格等信息进行了相应的描述。

从海报上我们可以看到,买家可以根据其想要自定义的功能来灵活选购。TeslaWare的价目表如下:

35€定制BTC 40€定制BTC和文本 50€定制BTC,文本,计时器和密码 70€以上,可定制GUI

该海报还列出了TeslaWare的以下功能:

AES 256位加密 计数器 说明 文件解密 AV工具无法解密 100%免杀 可更换壁纸

虽然,以上大多数列出的功能TeslaWare都具备,但可以肯定的是TeslaWare不可能100%免杀和被免费解密。

TeslaWare可被解密

这里要告诉大家一个好消息,经研究发现TeslaWare程序目前还存有诸多缺陷,这也就意味着受感染用户可以免费解密被加密的文件。因此,如果你的计算机感染了TeslaWare请不要支付赎金,你可以与我们取得联系获取相关的文件解密方法。

此外,为了广大用户的安全,我在这里不会公布任何有关该勒索程序的缺陷信息。因为,勒索软件的开发人员经常会光顾我们的网站。对于已经感染了的用户,可以在TeslaWare帮助和支持的主题张贴你的帮助请求。

玩俄罗斯轮盘游戏的TeslaWare

由于TeslaWare勒索程序是基于.NET编写的,因此我们可以看到它完整的工作视图。这里我可以告诉大家的是,TeslaWare确实是一个设计混乱,效率低下的勒索程序。正是由于它的这些缺陷,也让我们拥有了更多的时间来检测感染。尽管如此,但不得不提醒大家的是如果你不支付赎金且履行承诺,则该勒索程序很有可能会删除你的文件。

当TeslaWare被运行后,它将使用AES-256加密文件,并对驱动器和文件夹进行定位。与大多数针对特定文件扩展名的勒索程序不同,TeslaWare将加密除了.Tesla,.lnk,.exe,.dll和.sys格式之外的所有文件。

而对于已被加密的文件,TeslaCrypt将会在这些文件名后,追加一个.Tesla的扩展名。例如一个名为test.jpg的正常文件,加密后则变为了test.jpg.Tesla

加密完成后,受感染用户屏幕将会显示DelaWare赎金界面,如下:

我们可以发现,在这个赎金界面右下角位置有两个定时器。第一个计时器被设置为50分钟,一旦计时器全部变为0时,TeslaWare将会从受害者的桌面或子文件夹中随机删除10个文件。这也符合了俄罗斯轮盘游戏“赌”的特征。

而第二个计时器被设置为了72小时,当它变为0时,TeslaWare将删除C盘和驱动器上的所有文件。

最后,TeslaWare将尝试下载并将受害者的桌面壁纸设置为Nikola Tesla的照片,如下所示。

TeslaWare具有创建共享和蠕虫的能力

研究人员发现,在TeslaWare中仍有两个功能未被开启。第一功能是它允许开发人员,在受害者的计算机上创建新的网络共享。这将意味着,如果受害者的机器没有防火墙保护,那么攻击者将可能通过它来进一步的访问受害者的机器。

另一个功能就是,TeslaWare会将共享传播到其它计算机上。其中一个NSpread()的函数会将可执行文件复制到网络共享中,然后在这些共享中创建名为runme.pif或start.pif的.pif文件。如果远程计算机上的用户执行这些文件,那么TeslaWare也将会被安装在这些计算机上。

IOCs

Hashes:

SHA256: b1475898b803b336d1ca6fb26677e5c8fd6c1e5251c0d8b766a7da6a14380259

与TeslaWare相关的文件:

%LocalAppData%Tempimage.jpg
WindowsDrivers.exe

与TeslaWare相关的注册表项:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindowsDrivers    
WindowsDrivers.exe

网络流量:

http://deos.esy.es
http://btc.blockr.io
http://free-stuff-here.netne.net/RW

随机文章
本站知识点必读
最近更新