勒索軟體武器庫「再添新軍」，Windows Server Web伺服器安全成災

近日，網路安全公司Paladion的網路安全實驗室發現了一款名為「DogHousePower」的新型勒索軟體，該軟體專門針對在Windows Server操作系統上運行的Web伺服器和資料庫伺服器，而且有趣的是，它還被託管在GitHub上。

勒索軟體分析

最開始，我們使用Hybrid Analysis VxStream沙箱和Windows虛擬機對該勒索軟體的二進位文件「2.exe」進行了分析，結果發現，DogHousePower需要通過利用Apache Struts 2中的一個已知漏洞（CVE-2017-5638）來發起攻擊，並使用Microsoft PowerShell提供勒索軟體有效載荷，來進一步下載和傳播勒索軟體。

贖金需求

贖金通知中的部分內容顯示為中文信息，很可能是被用於誤導受害者和分析人員追溯DogHousePower的真實消息來源。此外，贖金金額要求是相當於5000元人民幣的比特幣，這可能表明，DogHousePower勒索軟體針對的是亞洲或源自亞洲的人群。

根據贖金通知要求，受害人需要在3天之內向提供的地址支付5000元贖金。勒索者表示，贖金價格可以進行進一步協商，但是如果受害者在3天內未支付5000元贖金，那麼贖金金額將上升至價值6000元人民幣的比特幣，如果超過7天還未支付贖金，那麼則需要支付價值7000元人民幣的比特幣。最後，該贖金通知警告稱，如果在13天內沒有收到受害者支付的贖金，那麼其文件將永遠無法解密。

為了在付款後對文件進行解密，勒索者還提供了一個聯繫電子郵件地址（atlantis.cf@yandex.com）供受害者發送贖金、截屏以及ID信息。此外，勒索者還表示，這些被加密的文件將通過電子郵件進行解密，每封電子郵件不應超過10MB。

勒索通知中還提供了多種語言版本，其中包括英語、俄語、西班牙語以及中文等，並提供了一份「在中國如何購買比特幣」的說明文檔。

攻擊者的另一份通知中還表示，他們正在考慮允許用戶像往常一樣訪問Windows、文檔以及設置等程序。

勒索軟體家族

研究人員在對贖金通知中提供的電子郵件地址和ZCash賬戶進行研究時發現，DogHousePower很有可能是基於「.BELGIAN_COCOA」、「.MyChemicalRomance4EVER」、「LambdaLocker」、「Pickles」以及「CryPy」勒索軟體演變發展而來的。

安全建議

DogHousePower勒索軟體針對的是Apache Struts 2中的一個已知漏洞——CVE-2017-5638來發起攻擊的，所以，組織機構應該立即修補這一安全漏洞以保護其自身安全。此外，關於該勒索軟體的安全更新信息，我們也將進行追蹤報道，敬請關注！

本文翻譯自：http://www.channelpostmea.com/2017/11/05/paladion-warns-against-ransomware-doghousepower/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8354.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：