当心：勒索软件和诈骗软件被打包在垃圾邮件中

电子邮件 .zip 附件中出现了两个恶意软件系列，NemucodAES 和 Kovter。

在过去的两周里，Brad Duncan 发现恶意垃圾邮件的发送量显着增加，其中包含 .zip 附件和 javascript 文件，旨在下载和安装 NemucodAES 勒索软件、Kovter 恶意欺诈软件。

NemucodAES是2016年出现在Locky和TeslaCrypt勒索病毒中的Nemucod木马的变种。2016年3月，Nemucod被曝光并形成了一个独特的勒索组件。

众所周知，Kovter 很难检测和删除恶意欺诈软件。 它采用“无文件”设计进行感染，不仅用于点击欺诈，还用于窃取个人信息、下载其他恶意软件或使黑客能够访问 PC。

这不是 Kovter 第一次与勒索软件捆绑在一起。 2 月，微软恶意软件保护中心的研究人员发现了一个使用 .lnk（可执行文件的快捷方式）传播 Locky 勒索软件和 Kovter 的恶意电子邮件活动。 而这次恶意垃圾邮件和包含 javascript 文件的 zip 存档对于大多数组织来说很容易检测到，但仍然存在一定的感染可能性。 幸运的是垃圾邮件勒索比特币，有一种解密方法可以恢复被NemucodAES勒索后的文件。

这次将NemucodAES和Kovter打包的恶意.zip解压后，会生成一个javascript文件。

在这个典型的 .js 中，你可以看到对 NemucodAES 的 http 请求，以及对各种可执行文件的请求。 然后可以检测到受 Kovter 感染的流量。

NemucodAES 加密文件保留其原始文件名、NemucodAES 指令（通过 .hta 文件）和 windows 桌面背景（。使用 RSA-2048 和 AES-128 算法加密。受害者需要支付约 1,500 美元的比特币。

此类 javascript 文件中包含的一些敏感信息可用于检测，例如：

it.support4u[.]pl、anahata2011[.]ru、shiashop[.]com 和 ionios-sa[.]gr。

流量包括端口垃圾邮件勒索比特币，包括：

80、443 和 8080 上的各种 ip：24[.]96[.]108[.]157、61[.]134[.]39[.]188 和 135[.]175[.]22[。 】 211.

S建议：

亲自启用邮箱的反垃圾邮件功能； 不要轻易打开邮件附件的压缩包；

组织可以根据js文件中的敏感信息形成本地检测发现规则，例如YARA规则； 使用端口和 IPS 通过通信进行流量检测和发现。

如果您已经被NemucodAES感染，您可以尝试访问：

有关 Kovter 的具体信息，请访问：

:Win32/Kovter