恶意勒索软件CryptoWall家族的第四个成员CryptoWall 4.0刚刚发布,给我们带来了一些新功能和一个全新的面貌。

我们在最近的报道中提到,CryptoWall 3.0造成了$ 3.25亿的年度损失。 第一版CryptoWall在2014年4月诞生,它的第一次重大升级是CryptoWall 2.0,在2014年10月发布。CryptoWall 3.0在2015年1月发布并在全球范围内引起恐慌。现在,2015年11月,CryptoWall 4.0也亮相了。

新功能

在CryptoWall家族的第4个成员中有一些新的功能,如加密受感染的文件的名字和拓展名。此外,CryptoWall 4.0还将其勒索信命名改为HELP_YOUR_FILES.TXTand HELP_YOUR_FILES.HTML。

该勒索信本身包括付款说明,还有一些嘲笑用户的话。

传播方式

最初报道中的样本是在 Bleeping Computer论坛上被感染的用户提供的,网络钓鱼是通过附有自称简历的ZIP压缩包附件的电子邮件传播的。 ZIP压缩包中的文件是一个JavaScript文件,这使得用户从有效负载为硬编码的URL 上下载了一个进行过模糊处理和美化的CryptoWall 4.0。

但是,漏洞工具很有可能将很快开始使用CW4作为有效载荷(特别是Angler EK)。

技术信息 

CryptoWall 4.0有效载荷的C&C的通讯和活动行为和它的早期版本颇为相似。我们已经分析样本并进行了以下操作,具体见下图。

关联域

添加文件

删除文件

修改文件

添加注册表项

进程树

·         INITIAL SAMPLE
o    exe
§  exe -k netsvcs
§  EXE “C:UsersAdministratorDesktopHELP_YOUR_FILES.TXT”
§  exe “C:UsersAdministratorDesktopHELP_YOUR_FILES.HTML”
§  exe Delete Shadows /All /Quiet