一款玩俄罗斯轮盘的勒索程序:TeslaWare
据Emsisoft的安全研究员xXToffeeXx介绍,一款名为TeslaWare的勒索程序正被黑客在网上进行推广和出售。xXToffeeXx告诉我们,他已经获取到了该勒索程序的样本文件,并对其进行了深入的研究。**令xXToffeeXx感到惊讶的是,他发现了TeslaWare的营销海报,一份制作精美和有着巨大吸引力的海报。**
TeslaWare正被黑客在网上出售
黑客目前正在网上以35~70欧元的价格出售TeslaWare勒索程序,而具体价格则取决于买家对于勒索程序的定制要求。此外为了吸引买家,出售TeslaWare的黑客论坛,更是为其精心设计了一份专门的营销海报。该海报不仅结合了特斯拉汽车的标志,还对勒索程序的规格价格等信息进行了相应的描述。
从海报上我们可以看到,买家可以根据其想要自定义的功能来灵活选购。TeslaWare的价目表如下:
35€定制BTC 40€定制BTC和文本 50€定制BTC,文本,计时器和密码 70€以上,可定制GUI
该海报还列出了TeslaWare的以下功能:
AES 256位加密 计数器 说明 文件解密 AV工具无法解密 100%免杀 可更换壁纸
虽然,以上大多数列出的功能TeslaWare都具备,但可以肯定的是TeslaWare不可能100%免杀和被免费解密。
TeslaWare可被解密
这里要告诉大家一个好消息,经研究发现TeslaWare程序目前还存有诸多缺陷,这也就意味着受感染用户可以免费解密被加密的文件。因此,如果你的计算机感染了TeslaWare请不要支付赎金,你可以与我们取得联系获取相关的文件解密方法。
此外,为了广大用户的安全,我在这里不会公布任何有关该勒索程序的缺陷信息。因为,勒索软件的开发人员经常会光顾我们的网站。对于已经感染了的用户,可以在TeslaWare帮助和支持的主题张贴你的帮助请求。
玩俄罗斯轮盘游戏的TeslaWare
由于TeslaWare勒索程序是基于.NET编写的,因此我们可以看到它完整的工作视图。这里我可以告诉大家的是,TeslaWare确实是一个设计混乱,效率低下的勒索程序。正是由于它的这些缺陷,也让我们拥有了更多的时间来检测感染。尽管如此,但不得不提醒大家的是如果你不支付赎金且履行承诺,则该勒索程序很有可能会删除你的文件。
当TeslaWare被运行后,它将使用AES-256加密文件,并对驱动器和文件夹进行定位。与大多数针对特定文件扩展名的勒索程序不同,TeslaWare将加密除了.Tesla,.lnk,.exe,.dll和.sys格式之外的所有文件。
而对于已被加密的文件,TeslaCrypt将会在这些文件名后,追加一个.Tesla的扩展名。例如一个名为test.jpg的正常文件,加密后则变为了test.jpg.Tesla。
加密完成后,受感染用户屏幕将会显示DelaWare赎金界面,如下:
我们可以发现,在这个赎金界面右下角位置有两个定时器。第一个计时器被设置为50分钟,一旦计时器全部变为0时,TeslaWare将会从受害者的桌面或子文件夹中随机删除10个文件。这也符合了俄罗斯轮盘游戏“赌”的特征。
而第二个计时器被设置为了72小时,当它变为0时,TeslaWare将删除C盘和驱动器上的所有文件。
最后,TeslaWare将尝试下载并将受害者的桌面壁纸设置为Nikola Tesla的照片,如下所示。
TeslaWare具有创建共享和蠕虫的能力
研究人员发现,在TeslaWare中仍有两个功能未被开启。第一功能是它允许开发人员,在受害者的计算机上创建新的网络共享。这将意味着,如果受害者的机器没有防火墙保护,那么攻击者将可能通过它来进一步的访问受害者的机器。
另一个功能就是,TeslaWare会将共享传播到其它计算机上。其中一个NSpread()的函数会将可执行文件复制到网络共享中,然后在这些共享中创建名为runme.pif或start.pif的.pif文件。如果远程计算机上的用户执行这些文件,那么TeslaWare也将会被安装在这些计算机上。
IOCs
Hashes:
SHA256: b1475898b803b336d1ca6fb26677e5c8fd6c1e5251c0d8b766a7da6a14380259
与TeslaWare相关的文件:
%LocalAppData%Tempimage.jpg
WindowsDrivers.exe
与TeslaWare相关的注册表项:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindowsDrivers
WindowsDrivers.exe
网络流量:
http://deos.esy.es
http://btc.blockr.io
http://free-stuff-here.netne.net/RW
- (37) 泛型 (下) - 细节和局限性 / 计算机程序的思维逻辑
- 快速失败Vs安全失败(Java迭代器附示例)
- Flask-SocketIO 文档译文
- 屏幕输出VS文件输出
- 判断一个数是不是2的幂
- (32) 剖析日期和时间 / 计算机程序的思维逻辑
- Python开发微信公众号后台(系列三)
- 【新手向】为何要这样安装Django?
- (33) Joda-Time / 计算机程序的思维逻辑
- Python实现守护进程
- 初探Anaconda——最省心的Python版本和第三方库管理
- Linux环境下JDK/Eclipse一键安装脚本
- (31) 剖析Arrays / 计算机程序的思维逻辑
- 应用自然语言处理(NLP)解码电影
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- CentOS8下的root密码快速修改方法
- Android开发之自定义刮刮卡实现代码
- Android ScrollView无法填充满屏幕的解决办法
- Android 监听屏幕是否锁屏的实例代码
- Android实现水波纹控件的方法
- Android中GridView布局实现整体居中方法示例
- Android SharedPreferences四种操作模式使用详解
- Ubuntu18.04下将 磁盘挂载在某目录下
- Android编程之绘图canvas基本用法示例
- Android 编译出错版本匹配问题解决办法
- Linux(CentOS7)使用 RPM 安装 mysql 8.0.11的教程
- Android Adapter里面嵌套ListView实例详解
- Centos7 安装达梦数据库的教程
- Android开发使用Handler实现图片轮播功能示例
- 简单实现Android刮刮卡效果