【安全资讯】研究人员发现使用Go语言编译的TellYouThePass勒索软件样本

安恒威胁情报中心 2022-01-14 14:44:02 203人浏览

引言

TellYouThePass是一种出于经济动机的勒索软件,于2019年初首次被披露。已知的 TellYouThePass 勒索软件样本是用 Java 或 .Net 等编程语言编写的,但近日,研究人员发现了用 Golang语言重写和编译的TellYouThePass样本,新的样本可以针对windows和Linux操作系统。

 

简况

TellYouThePass勒索软件的 Linux 和 Windows 样本之间的代码相似度为 85%,这表明勒索软件在不同操作系统上运行所需的调整很小。Windows 和 Linux样本函数对比如下:

 

在启动加密例程之前,TellYouThePass 会终止可能影响进程或导致加密不完整的任务,如电子邮件客户端、数据库应用程序、Web 服务器和文档编辑器。此外,一些目录不会被加密,以防止系统无法启动。在最近的 TellYouThePass 感染中,赎金票据要求为 0.05 比特币,约 2,150 美元,以换取解密工具。加密方案使用 RSA-2014 和 AES-256 算法,并且没有免费的解密器可用。

 

勒索软件最新样本的一个变化是,除了main函数之外,所有函数的名称都随机化,从而影响研究人员的分析。

 

总结

目前,尚未发现TellYouThePass针对macOS系统的样本。此次发现的TellYouThePass勒索软件新样本表明,Golang语言因其跨平台的多功能性,在恶意软件开发人员中逐渐变得流行。

失陷指标(IOC)4
勒索软件 TellYouThePass 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。