Ransomware baru
WnsbSec-Pakar keamanan di Trend Micro telah menemukan strain Ransomware baru bernama PyLocky yang telah terlibat dalam serangan antara Juli dan Agustus tahun ini. Malware itu berperan sebagai Locky Ransomware dengan mengeluarkan catatan tebusan yang mirip dengan korban yang terkena dampak. Ransomware ditulis dengan Python dan menggunakan PyInstaller untuk bertindak sebagai aplikasi yang berdiri sendiri.Bagaimana cara mengubah Python Scripts menjadi file yang dapat dieksekusi?
PyInstaller mengubah Python Scripts menjadi executable yang berdiri sendiri, ini unik dari ransomware lain karena memiliki Kemampuan Belajar Anti-Mesin dan juga menggunakan skrip open-source yang disebut Penginstal Pengaturan Inno.“Pada akhir Juli dan sepanjang Agustus, kami mengamati gelombang email spam yang mengirimkan ransomware PyLocky. Meskipun ia mencoba untuk lulus sebagai Locky dalam catatan tebusan nya, PyLocky tidak berhubungan dengan Locky.”Membaca yang analisis diumumkan oleh Trend Micro.
“ PyLocky ditulis dengan Python, bahasa scripting yang populer; dan dibundel dengan PyInstaller, alat yang digunakan untuk mengemas program berbasis Python sebagai executable yang berdiri sendiri. ”
Bagaimana cara ransomware menyebar?
Tujuan dari ransomware adalah untuk melewati metode analisis statis menggunakan Installer Pengaturan Inno dan PyInstaller yang membuatnya lebih berbahaya. Ransomware sebagian besar dirancang untuk menargetkan populasi di Eropa dan Prancis dan didistribusikan menggunakan kampanye spam sementara pesan spam telah mulai rendah dalam volume yang mereka telah meningkat dari waktu ke waktu.“URL bahaya mengarah ke file ZIP (Facture_23100.31.07.2018.zip) yang berisi eksekusi yang ditandatangani (Facture_23100.31.07.2018.exe). Ketika berhasil dijalankan, Facture_23100.31.07.2018.exe akan menjatuhkan komponen malware - beberapa pustaka C ++ dan Python dan pustaka dynamic-link Python 2.7 Core (DLL) - bersama dengan ransomware utama yang dapat dieksekusi (lockyfud.exe, yang dibuat melalui PyInstaller) di C: \ Users \ {user} \ AppData \ Local \ Temp \ is- {random} .tmp. ”Menyatakan laporan.
PyLocky mencoba mengenkripsi Gambar, Video, Dokumen, Suara, Aplikasi, Database, dan Arsip File sebelum menampilkan catatan tebusan. Ransomware dikonfigurasi untuk mengenkripsi daftar jenis file yang dikodekan keras, PyLocky juga menyalahgunakan Windows Management Instrumentation (WMI) untuk memeriksa atribut sistem yang terpengaruh.
Bagaimana cara kerja Ransomware?
Ransomware tidur selama 999,999 detik sekitar 11,5 hari sebelum memulai proses enkripsi di komputer korban. The ransomware menggunakan 3DES (Triple DES) cypher yang sudah termasuk dalam Perpustakaan PyCrypto yang menghasilkan daftar file yang dienkripsi, ransomware kemudian menggunakan file-file ini untuk menimpa yang asli. Selanjutnya daftar sistem yang terpengaruh dikirim ke server Command and Control yang dikendalikan oleh peretas.Luangkan waktu Anda untuk mengomentari artikel ini
0 Response to "Ransomware Baru Bernama PyLocky Ditemukan"
Post a Comment
Berkomentarlah yang baik dan benar. Omonganmu mencerminkan sifatmu