货物延迟?还是让勒索软件迟一点吧
一个新的垃圾邮件运动正在进行,主要针对中国人,诱骗他们安装REvil(Sodinokibi)勒索软件。
该垃圾邮件活动是由安全研究人员洋葱发现的,该活动伪装成DHL的一封电子邮件,邮件主题为“您的包裹将无法按时交付”,邮件内容称因为受害者提供了不正确的海关申报数据,因此不能按时交付受害者的包裹,要求受害者点击邮件中的链接,下载海关文件查看并签署。
DHL,即敦豪国际航空快递有限公司,是全球知名的邮递和物流集团Deutsche Post DHL旗下公司,业务遍布全球220个国家和地区。
2019年5月,华为通过联邦快递(FedEx)发送的两份商业文件被拦截并送往美国孟菲斯的联邦快递公司。在业内人士对联邦快递发出质疑后,联邦快递在5月28日发布了道歉微博。5月22日,传出DHL停收华为货物的通知,5月23日,DHL否认停运华为货物。在此背景下,伪装成DHL的钓鱼邮件极有可能是在蹭该起事件的热点,利用该事件对大众造成的影响,诱导用户相信钓鱼邮件是真的,从而增加用户点击链接的可能性。
如果用户下载附带的海关文件.zip文件并将其解压,里面有一个名为“DHL海关申报单.doc.exe”的文件。
这个可执行文件就是REvil(Sodinokibi)勒索软件,它将使用PowerShell执行以下WMI命令立即删除受害者的卷影副本。
然后继续加密受害者的文件,并将随即扩展名附加到所有被加密的文件中。完成后,受害者会在每个加密文件夹中找到勒索信,其中包含有关如何访问Sodinokibi Tor付款站点、以及如何付款的说明。
Sodinokibi勒索病毒,又常常被称为Sodin、REvil,尽管从发现第一个版本至今才不到3个月时间,该勒索病毒的知名度已经非常高了,因为它与刚刚退休不久的GandCrab勒索软件有着极强的关联。
Sodinokibi多数通过钓鱼邮件传播,通常会使用类似下述表格中所罗列的邮件主题和附件名称进行传播,还可以使用短网址进行跳转解析网址去下载勒索软件。
而且由于Windows具有一个令人困惑的默认设置——隐藏文件扩展名,受害者中招的概率更高。例如,在此次攻击中,勒索软件以可执行文件的形式分发,名称为“DHL海关申报单.doc.exe”。但由于Windows隐藏了扩展名,因此大多数用户只会看到带有Word图标的“DHL海关申报单.doc”,受害者就会自然而然的认为它是Word文档而不是可执行文件。
所以,为了避免这种情况发生,研究人员建议所有用户查看有关如何在Windows中显示文件扩展名的指南来启用文件扩展名查看,因为至少在看到可执行文件之后,用户不会啥都不想就打开文件。