网络 | 解析来自Tuta.io的“机密邮件”中的病毒
起因:
在专否的论坛之中看到了一篇站长的帖子,提到了前几天他收到了一封来源于tevin@tuta.io的机密邮件,这封邮件说这是一封通过tutanota.com发送的机密邮件,然后下面有一个链接,点击打开机密邮件。站长本人留了个心,切换了网络环境————用未越狱的ios进行打开,结果无法加载,但致终没能够确定这是否是病毒。
我想着折腾OSINT我也算是有些时日了,那么何不学以致用一下。来试试从开源情报的角度确定这是否是病毒,并尝试判断其来源。于是在一顿操作过后我就在论坛里回帖子了。
首先,可以实锤的是,这是一个恶意链接,它会自动下载DXXD勒索软件,这是专门针对服务器的,即使未映射网络共享文件,也能够对文件加密勒索。基于OSINT的搜索,一共找到了超270个域名是源于这同种勒索病毒。[域名附在文末]
首先看看这个邮件的发信器,MX:mail.tutanota.de
然后找到了共计3发信服务器的IP:
81.3.6.164
81.3.6.163
188.40.109.72
德国 下萨克森州 汉诺威 是hostway.de机房的服务器
那么这个病毒究竟会干嘛呢?
DXXD勒索软件会添加“.dxxd”扩展名到加密文件,然后将支付赎金显示给受感染的计算机。DXXD赎金会要求这些受害者需要联系rep_stosd@protonmail.com或rep_stosd@tuta.io。以获取解密。
有趣的是他会配置Windows注册表信息,DXXD勒索软件更改HKLM SOFTWARE Microsoft Windows NT CurrentVersion Winlogon LegalNoticeCaption注册表项和HKLM SOFTWARE Microsoft Windows NT CurrentVersion Winlogon LegalNoticeText来显示以下注释。
启动Windows时,Windows Defender可以通过扫描恶意软件或不需要的软件来帮助保护您的PC
也就是说,它的勒索远不是像当年WannaCry那样暴力的弹窗,而是相当“优雅”的冒充一番微软安全中心,以此让你信以为真的。
既然是病毒,那么最根本的就是搞破坏,他将会带来什么?
1、加密计算机内部文件
2、通过0Day来将病毒继续传播
那么,上文废话了那么久,终究只是让人看着笑笑,这玩意中招了,有没有解决办法呢?
幸运的是,我找到了SENSORS发布的病毒解密及专杀文件。
https://sensorstechforum.com/remove-aes-ni-ransomware-restore-aes_ni_0day-files
威胁域名:[请谨慎接受来自这些域的任何邮件!!!]
mail.jouanne.alsace mail.8191.at
mail.c-fischer.at mail.ashleytowns.id.au
login.cryptomail.be secure.hansup.be
mailbox.isberg.be desk.ayus.bio
securecontact.europa.blog mail.emd.bz
contact.avantlaw.ca mail.bztechnologies.ca
secure.mmn.on.ca secure.onepost.ca
mail.seraph.ca www.thenickies.ca
mail.digitalmensch.ch mail.kurdy.ch
sicherheit.service-sans-soucis.ch mail.littlecity.city
mail.minhng99.cloud bolx.co
www.bolx.co mail.syslab.codes
buck.3hourdeer.com mail.4rt6.com
x.addmedica.com mail.alabelo.com
mail.secure.ampullate.com login.angoramail.com
webmail.beastemail.com mail.beta-innov.com
mail.bockamp.com contact.brandonacorda.com
contact.canadianonlinepharma.com login.secmail.coverthart.com
email.drjimbrown.com mail.dtm-creative.com
mail.ducksnutstackle.com contact.etiennemahler.com
mail.farmodomo.com connect.secure.franzwalter.com
mail.gawestaccountant.com mail.geekingthomas.com
www.georgioszachariadis.com securemail.grupotravelstore.com
mail.hanabi-evenement.com whisper.i-quasar.com
mail.ietecsl.com mail.ihempnyc.com
webmail.ironjawsoftware.com mail.itfallon.com
formspaxtly.janlangcapital.com mx.joetl.com
login.jonengle.com tuta.julbor.com
secure.kelony.com email.krugar.com
forms.leggendariodj.com webmail.letspen.com
mail.lindnercloud.com secureconnect.linuxjournal.com
mail2.mentaltechnologies.com www.michalou.com
login.nerdconomy.com ssl.nider.com
sgtour.overlookatfarragut.com www.parchmail.com
email.pharmatreex.com webmail.pilisko.com
mail.piuswilson.com mail.produktech-engineering.com
mail.publishingimpressions.com boatman.rainfromafar.com
mail.razvery.com labs.robot-review.com
mail.rocketnetusa.com mail.sebsharp.com
mail.security401.com www.smitsmail.com
mail.solsteinen.com secure.steffenprey.com
mail.sznlabs.com mail.tagmata.com
mail.tepolsofts.com wm.theseedmc.com
secure.timverheyden.com mail.tuckerbradford.com
tutamail.com tutanota.com
app.tutanota.com login.tutanota.com
mail.tutanota.com www.tutanota.com
mail.wardentechservices.com mail.wemakemachines.com
mail.willjos.com mail.xavierzinn.com
secure.yacbuilder.com contact.yadoki-organics.com
*参考资料
securityaffairs:“DXXD Ransomware, displays legal notice and encrypts files on unmapped network shares”2016-Oct.12*