新发现的Mailto(NetWalker)勒索软件可以将恶意代码注入Windows资源管理器进程,从而可以逃避检测。
虽然勒索软件于2019年8月首次发现,但由于它附加到所有加密文件的扩展名而被称为Mailto,但根据勒索软件作者的分析,该勒索软件的作者称其为NetWalker。
继2月初披露的攻击之后,Mailto不仅针对家庭用户,而且还试图破坏企业网络并加密与其连接的所有Windows设备。
Windows资源管理器过去经常隐藏
尽管有许多恶意软件家族使用进程挖空 来创建处于挂起状态的进程,然后取消映射并用恶意代码替换其内存,但Mailto勒索软件背后的操作员使用了不同的方法来获得与Quick Heal发现的结果相同的结果。 。
Mailto勒索软件不是以挂起模式创建“替罪羊”进程,而是以调试模式创建它,并使用诸如WaitForDebugEvent之类的调试API来执行实际的恶意代码注入,并让explorer.exe进程执行它。

成功注入恶意有效负载后,恶意软件通过添加注册表RUN条目并删除系统卷影副本以防止受害者在加密后恢复其数据,从而在受感染设备上获得持久性。
勒索软件存储其配置数据,包括“ base64加密的勒索记录,勒索记录中使用的电子邮件地址,在执行过程中需要被杀死的进程,白名单的路径,文件名和扩展名”,以及它在其中所需要的所有其他信息。注入到explorer.exe中的JSON有效负载的.rsrc部分。

SentinelLabs的负责人Vitali Kremez上个月在分析 Mailto 勒索软件样本后对 BleepingComputer表示:“勒索软件及其群组具有观察到的更精细,更复杂的配置之一。”
对受害者的文件进行加密时,Mailto勒索软件将使用.mailto [{mail1}]。{id}格式附加扩展名。例如,将首先加密名为1.doc的文件,然后将其重命名为1.doc.mailto [sevenoneone@cock.li] .77d8b。
Mailto还删除赎金记录,其中包含有关受感染计算机发生了什么情况的信息,以及受害人用来获取付款金额和解密说明的两个电子邮件地址。

加密文件后清除所有跟踪
“经过加密后,’explorer.exe’杀死了父进程并删除了原始示例,该文件位于%ProgramFiles%处,并且位于RUN条目下,从而消除了其存在的痕迹,” Quick Heal还发现。
Mailto勒索软件仍在分析中,尚不清楚其加密算法中是否有任何弱点可用于免费解密锁定的文件。
那些使用Mailto(NetWalker)加密了文件的人可以找到有关此勒索软件的更多信息,并在我们专用的Mailto / Netwalker勒索软件支持和帮助主题中获得支持 。
在相关新闻中,澳大利亚运输和物流公司Toll Group透露,跨业务部门和多个站点的系统在2月份被Mailto勒索软件加密。
此外,Mailto并不是使用新颖的方法来对抗安全解决方案时发现的第一个勒索软件。Snatch勒索软件会重新启动受害者的计算机,使其进入安全模式,以禁用所有驻留的反恶意软件解决方案,并在系统重启后立即开始对其文件进行加密。
*编译:Domino
*来自:Bleeping