资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
我的关注
远程桌面服务成为网络犯罪新目标:RSAUtil勒索软件的传播方式
网络犯罪分子当前最显著的趋势之一是利用远程桌面服务进行攻击。在最近的一个案例中,这种攻击方式被用于安装RSAUtil勒索软件。事实证明,这是一种极具效力的恶意软件传播方式,可以感染尽可能多的计算机。更令人不安的是,目前似乎还没有免费的解密方法。
网络犯罪手段的演变
得知犯罪分子有意利用远程桌面服务入侵来传播各种恶意软件(包括勒索软件)确实令人担忧。然而,这并不完全出人意料,因为随着时间的推移,传统的传播方式最终会变得不那么有效。虽然垃圾邮件和盗版软件下载目前仍然流行,但犯罪分子也必须着眼于未来。
RSAUtil的传播机制
RSAUtil目前通过被入侵的远程桌面服务进行传播。该恶意工具包的幕后操纵者会上传一组包含配置文件、勒索软件本身以及其他工具的软件包到被感染的主机上。显然,利用远程桌面服务可以快速成为一种大规模成功传播恶意软件的新方式。
技术细节分析
BleepingComputer的研究人员对RSAUtil安装包进行了深入分析,发现了一些有趣的信息。如预期所示,其中包含一个用于清除事件日志的文件,可以抹去计算机最初被感染的任何痕迹。此外,配置文件将确定用于加密的ID类型、文件重命名方式以及完成加密任务所使用的密钥。
RSAUtil的功能远比人们想象的要复杂。它包含一个可执行文件,能够主动阻止受感染计算机进入睡眠模式。因为计算机休眠会导致黑客在设备重新联网前失去访问权限。更为棘手的是,犯罪分子使用了一款合法的软件来实现这一目的。
勒索软件的有效负载通过修改后的svchosts.exe文件进行安装。正如预期的那样,该文件将扫描计算机的所有文件夹和文件,以及网络驱动器和网络上的其他共享资源。所有这些位置都将被勒索软件有效负载加密。此外,RSAUtil不会加密特定文件类型,而是修改它能找到的任何文件,这使得对该恶意软件样本的分析过程更加困难。
勒索手段与防范建议
RSAUtil是另一种要求比特币支付的勒索软件,尽管目前尚不清楚需要支付多少赎金才能恢复文件访问权限。就目前而言,还没有免费的解密方法,尽管从长远来看,这可能只是时间问题。这种勒索软件对全球计算机用户构成了重大威胁,甚至可能需要一段时间后,人们才会意识到自己的设备已被入侵。
