753      windows

勒索軟件武器庫“再添新軍”，Windows Server Web服務器安全成災

近日，網絡安全公司Canthink的網絡安全實驗室發現了一款名為“DogHousePower”的新型勒索軟件，該軟件專門針對在Windows Server操作係統上運行的Web服務器和數據庫服務器，而且有趣的是，它還被托管在GitHub上。

勒索軟件分析

最開始，我們使用Hybrid Analysis VxStream沙箱和Windows虛擬機對該勒索軟件的二進製文件“2.exe”進行了分析，結果發現，DogHousePower需要通過利用ApacheStruts2中的一個已知漏洞（CVE-2017-5638）來發起攻擊，並使用Microsoft PowerShell提供勒索軟件有效載荷，來進一步下載和傳播勒索軟件。

贖金需求

贖金通知中的部分內容顯示為中文信息，很可能是被用於誤導受害者和分析人員追溯DogHousePower的真實消息來源。此外，贖金金額要求是相當於5000元人民幣的比特幣，這可能表明，DogHousePower勒索軟件針對的是亞洲或源自亞洲的人群。

根據贖金通知要求，受害人需要在3天之內向提供的地址支付5000元贖金。勒索者表示，贖金價格可以進行進一步協商，但是如果受害者在3天內未支付5000元贖金，那麼贖金金額將上升至價值6000元人民幣的比特幣，如果超過7天還未支付贖金，那麼則需要支付價值7000元人民幣的比特幣。最後，該贖金通知警告稱，如果在13天內沒有收到受害者支付的贖金，那麼其文件將永遠無法解密。

勒索通知中還提供了多種語言版本，其中包括英語、俄語、西班牙語以及中文等，並提供了一份“在中國如何購買比特幣”的說明文檔。

攻擊者的另一份通知中還表示，他們正在考慮允許用戶像往常一樣訪問Windows、文檔以及設置等程序。

勒索軟件家族

研究人員在對贖金通知中提供的電子郵件地址和ZCash賬戶進行研究時發現，DogHousePower很有可能是基於“.BELGIAN_COCOA”、“.MyChemicalRomance4EVER”、“LambdaLocker”、“Pickles”以及“CryPy”勒索軟件演變發展而來的。

安全建議

DogHousePower勒索軟件針對的是Apache Struts 2中的一個已知漏洞——CVE-2017-5638來發起攻擊的，所以，組織機構應該立即修補這一安全漏洞以保護其自身安全

最後更新：2017-11-09 20:16:25

  上一篇： Win10 Bitlocker 移動硬盤加密到95.5%後很長時間不動

  下一篇： 移動熱點，連不上了，手機上顯示“身份驗證出現問題”