首页保安勒索软件FTCODE攻击Windows并加密文件

勒索软件FTCODE攻击Windows并加密文件

研究人员发现了新一波的勒索软件FTCODE活动,该活动窃取登录凭据并加密Windows系统上的文件。

勒索软件FTCODE于2013年首次被发现,并使用Windows PowerShell程序对文件进行加密。

勒索软件于去年XNUMX月再次出现,根据Certego对FTCODE勒索软件的分析,它仍在开发中。 的 黑客 他们使用的特定勒索软件背后 Word文件 以“共享”勒索软件。 如果受害者打开文档并禁用受保护的查看,则会触发恶意宏的执行。

运行宏后,PowerShell进程将运行以下载Powershell代码的一部分,即FTCODE,并将请求仅存储在内存中,以尝试防止防病毒检测。

FTCODE勒索软件

FTCODE Ransomware新版本

Zscaler的研究人员发现了新版本的FTCODE勒索软件1117.1,其中包含各种感染方法和密码盗窃功能。

勒索软件通过以下方式分发 垃圾邮件 及其宏文件 链接 到VBScripts,后者下载称为FTCODE勒索软件的PowerShell脚本。

为了欺骗用户, 脚本 首先下载诱饵文档,然后在后台下载并运行勒索软件。

在加密之前,它将检查所有驱动器,以查看是否至少有50kb的可用空间,以查看其加密的扩展名是否适合。

一旦 加密,赎金记录“ READ_ME_NOW.htm”出现在加密文件列表中。

该说明将受害者定向到Tor网站进行制作 付款。 Tor网站包含一个地址 比特币 并要求受害者支付500美元以恢复文件。

一些用户告诉BleepingComputer,“有人支付了赎金,文件没有被解密。”

密码编码器

新版本的勒索软件包括以下可能性: 密码,在早期版本中不存在。

从浏览器和电子邮件客户端窃取登录凭据:

  • 互联网浏览器
  • Mozilla Firefox浏览器
  • Mozilla的雷鸟
  • 谷歌 Chrome 浏览器
  • 微软Outlook

FTCODE勒索软件正在发展,并且在很短的时间内,已检测到多个版本。 当前没有用于勒索软件病毒的解密器。

现货图片

实时新闻