一款名为Yatron的勒索软件在推特上宣称要利用EternalBlue和DoublePulsar漏洞感染其他计算机,如72小时内不付款还将删除加密文件。
Yatron的勒索软件
开发者推文
与其他勒索软件一样,该软件执行时也会扫描计算机中的目标文件、并对其进行加密,并将扩展名“.Yatron ” 附加到加密文件,如下图:
加密的Yatron文件
完成加密文件后,它会将加密密码和唯一ID发送回勒索软件的命令和控制服务器。根据Gillespie的说法,这个勒索软件基于HiddenTear,但其加密算法已被修改,因此无法使用当前方法对其进行解密。
一旦加密完成,事情开始变得更有趣。
Yatron里所含代码使用“永恒之蓝”和“DoublePulsar”漏洞传播到Windows设备上,与早就该修补的SMBv1漏洞用了同一个网络,所幸利用代码不够完整、目前还不包括所赖的Eternalblue-2.2.0.exe和Doublepulsar-1.3.1.exe可执行文件。
但是,一些代码尝试配置变量来执行下图中的利用命令。
配置多个变量进行漏洞利用
如所需的可执行文件已经存在于计算机上,勒索软件便尝试触发,如下图:
执行永恒之蓝利用命令
除利用漏洞之外,Yatron还尝试通过通过P2P程序将勒索软件可执行文件复制到Kazaa,Ares,eMule等程序使用的默认文件夹进行传播,在这些程序启动时,勒索软件自动通过P2P客户端共享。
P2P共享
完成后,勒索软件会显示一个72小时倒计时的界面,直到加密文件被删除。为防止文件被删除,用户可以使用像Process Explorer这种工具以管理员身份运行,终止勒索流程。
Yatron勒索软件
作为RaaS推广
Yatron被推广为Ransomware-as-a-Service,但其与大多数RaaS服务的做法略有不同。 通常情况下,当想要加入RaaS的犯罪分子时,开发人员会收取所有提交的赎金付款的收益分成。例如,一些RaaS服务将收取所有赎金支付的20%,而同伙/分销商获得剩余的80%;而Yatron开发商与另一款名为“Jokeroo”的RaaS一样,以100美元的比特币出售,之后不再付费。
Yatron RaaS服务
与所有RaaS产品一样,Yatron承诺提供FUD可执行文件,其可加密计算机及删除卷影副本。此勒索软件还通过P2P,USB和LAN进行传播。
本文作者:Gump,转载自:http://www.mottoin.com/detail/3865.html
