恶意病毒 israbye 伪装勒索软件损毁文件、宣扬反以色列思想
2017-08-15 09:32:41
据外媒 8 月 13 日报道,安全公司 avast 研究人员 jakub kroustek 近期发现一款恶意病毒 通过伪装成勒索软件肆意传播并永久损毁系统文件,同时可将用户桌面内容替换成反以色列画面。
以色列政府针对耶路撒冷的阿克萨清真寺采取新安全措施,引发阿克萨危机事件。然而,巴勒斯坦认为这是以色列对伊斯兰教的控制与扩张。调查显示,由于 israbye 在阿克萨事件发生不久后被发现,因此研究人员推测该恶意软件的出现并非偶然 。
恶意病毒 israbye 由 5 个不同可执行文件组成,其第一个可执行文件名为 israbye.exe 。当程序启动时,israbye.exe 会自动将以下反以色列字符串消息替换到所有连接驱动器上的文件中:
fuck-israel, [username] you will never recover your files until israel disepeare
事实上 israbye 并不会对文件进行加密,而是直接毁坏文件本身内容。一旦完成操作,它将从 israbye.exe 可执行文件中提取并启动 4 个名为 cry.exe、cur.exe、lock.exe 与 index.exe 的文件。其中 cry.exe 可执行文件将以反以色列的图像取代目标设备的桌面墙纸。
另外,lock.exe 可执行文件运行以下三个功能:首先,它将寻找 procexp64、processhacker、taskmgr、procexp、xns5 进程并在被检测时终止它们。其次,如果它尚未运行,将启动 index.exe。最后,它将主 israbye.exe 文件复制到其他驱动器的 root 目录 clickme.exe 中,以便传播恶意软件。
研究人员 ido naor 注意到,在 %temp% 文件夹中创建一个名为 clickme.exe 的文件,可能会使 israbye 在第一次启动时处于崩溃状态。最后,index.exe 可执行文件将显示锁屏,并提取 wav 文件并进行播放。
官方微信