我们都很熟悉网址缩短服务在推特和其他社交媒体上经常使用。众所周知,网络犯罪分子也使用网址缩短器来帮助他们实现目标。网址缩短器经常被网络犯罪分子用来混淆指向恶意目的地的重定向。
最近,一个网址缩短服务被用来缩小一个可疑的链接,混淆了一个恶意的目的地:
46(点)30 (dot) 45(点)39 / Statement.jpg
这实际上是一个恶意的脚本dowloader " Statement.js ",删除Cryptowall
46(点)30 (dot) 45(点)39 / yyo.w
Cryptowall是Ransomware它对你电脑上的文件进行加密,并要求支付赎金,以接收解密文件的指令(私钥)(在这种情况下,使用的是RSA-2048加密)。
缩短恶意URL: [URL]/1|Qblabla - > hxxp://46(dot)30(dot)45(dot)39/Statement.jpg = Statement.js(恶意脚本下载器)。
语句。js - >可执行w (Cryptowall) from 46(dot)30(dot)45(dot)39/ yo.w
URL缩短服务禁用了缩短的URL,但识别的IP仍在为Cryptowall服务,在这篇文章的时候(Cryptowall文件从46(点)30(点)45(点)39/yyo。W和随后的沟通如上所示。
在感染后,受害者会被告知刚刚发生的事情的细节,以及关于加密的简短解释。他们还会得到解密文件所需的步骤。最后,他们提供了为他们设计的特定主页的细节,以及下载和安装Tor浏览器的说明。
案文内容如下:
找不到你需要的文件?您看到的文件内容是否不可读?这是正常的,因为文件名,以及文件中的数据已经加密。恭喜你! !你已经成为一个大型社区#Cryptowall的一部分。您的文件已被5he Cryptowall软件加密;你在加密文件文件夹中找到的指令不是病毒,它们是你的助手。读完这篇文章后,100%的人会在搜索引擎上搜索Cryptowall这个词,在那里你会找到很多想法、建议和指导。逻辑地想想——我们是把你的文件锁上的人,我们是唯一有这把神秘钥匙打开它们的人。任何使用第三方工具恢复文件的尝试都可能对加密文件造成致命的伤害。 In case if these simple rules are violated we will not be able to help you and we will not try because you have been warned. For your attention the software to decrypt the files (as well as the private key that comes fitted with it) is a paid product. After purchasing the software package you can 1) Decrypt all your files 2) Work with your documents 3) View your photos and other media content 4) Continue your habitual and comfortable work at the computer
知识产权说明:
俄罗斯联邦莫斯科Eurobyte有限责任公司
ASN: Russian Federation AS35415 WEBZILLA WEBZILLA B.V.(注册于2005年8月3日)
主持人:解决vz110372.eurodir.ru
的Whois服务器:whois.ripe.net
IP地址:46.30.45.39
反向IP: 1网站使用此地址。
勒索软件并不是什么新鲜事,但网络犯罪分子不断地利用间谍技术来领先安全行业一步。这个简短的博客并不是要单独列出一个特定的URL缩短服务,也不是要对Cryptolocker进行高层次的分析。这个博客更关注如何在处理短链接时提高意识。
为了避免点击恶意缩短的链接,可以采取一些预防措施,例如,如果不知道来自谁,就不要点击缩短的链接。如果你想采取额外的措施,有一些服务可以不缩短URL,比如
checkshorturl com(点)
此外,强烈建议您将反病毒和反恶意软件结合使用,以获得最佳的可能保护。必威平台APPMalwarebytes反恶意软件保护用户免受这种攻击,包括阻断识别出的恶意ip和与勒索软件相关的域。
Zynthesis
评论