研究人員發現了FTCODE勒索軟體的更新版本,這一次看起來作者似乎將更多的精力放在了密碼竊取功能上。ThreatLabZ團隊進行的分析表明,該惡意軟體專門針對說義大利語的Windows用戶,並且最新版本(檢測為1117.1)採用VBScript下載方法進行更複雜的攻擊。
攻擊者使用電子郵件將勒索軟體傳播到潛在目標,惡意電子郵件包括受感染的文檔和VBScript,它們在執行時運行會觸發勒索軟體感染的PowerShell腳本。該腳本首先將誘餌圖像下載到%temp%文件夾中,並試圖誘使用戶相信他們只是收到了圖像,然後在後台下載並運行勒索軟體。
該惡意軟體試圖通過在Windows啟動文件夾中創建一個名為WindowsIndexingService.lnk的快捷方式來獲得持久運行能力。此外,它還會創建一個計劃任務,稱為WindowsApplicationService,快捷方式和計劃任務都共同指向惡意的WindowsIndexingService.vbs腳本。
一旦設備被感染,勒索軟體就會對多種文件格式進行加密,FTCODE使用GUID生成密碼,並生成較早的隨機字符集。它使用Rijndael對稱密鑰加密來加密上述每個擴展文件的40960字節。初始化向量基於11個隨機生成的字符,並在根文件夾中放入名為「READ_ME_NOW.htm」的勒索注釋。
完成準備後,勒索軟體會指示用戶下載Tor瀏覽器並訪問連結,在該連結上,他們需要付費才能使用解密密鑰來解鎖文件。
除了加密文件之外,勒索軟體還從包括Internet Explorer,Mozilla Firefox,Mozilla Thunderbird,Google Chrome和Microsoft Outlook在內的流行瀏覽器和電子郵件客戶端中竊取憑據。勒索軟體可以掃描這些應用程式存儲憑據的默認位置,提取數據,然後將其上傳到惡意軟體作者把控的伺服器。