前言

近日，360威脅情報中心捕獲到新一批的zepto敲詐者木馬開始通過郵件附件傳播，與以往有所不同的是，新一波的郵件附件，不再使用之前的js腳本作為最初的下載器，而是改用HTA腳本。一旦中招，用戶電腦上的視頻、圖片、文檔等文件内容會被加密，擴展名被改為.zepto，并修改桌面背景圖片提示要求支付比特币贖金。

經過解密後，可見關鍵代碼。首先腳本會嘗試從列表中所給出的三個URL下載payload文件到本地并執行，隻要其中任意一個被成功運行起來便會跳出循環，不再嘗試後面的下載地址：

而每次循環中，腳本都會首先嘗試下載payload文件，若成功下載會本地，便會解密文件，把文件恢複成可執行的PE文件格式，再通過文件大小和一些特定偏移量标記判斷恢複是否成功：

而payload被下載回來之後，讀取文件的時候本身就會有一次轉換：

而在讀取完文件，并成功轉換為數組後，會正式進行解密：

如此大費周章的獲取到一個真正的可執行程序，最後在調用系統的rundll32進程，帶參數”qwerty”執行該dll木馬程序：

而最終執行的這個dll程序與之前的敲詐者木馬就别無二緻了，都是調用advapi32中提供的加密函數逐文件進行加密，此處不再贅述：

樣本信息

lHTA下載器樣本：

6890ceb469a2c8735c4ef4a60d8bfb7931960d4ecf5d6e09d2547a6f7ff0cc4b

ed39f8d1b158a87adeb91be2c47bacd15593390edb2b96713214071ee44f2c26

0025c118675d62dfabcf26698e78870138b5440ac96ccf8d41b32b4d0536aa55

l Dll敲詐者木馬樣本：

60b2d7d1cf0d543b5287088fa5f1d594181a128024770fc6cd08cb414a4ab07e

l Payload下載地址：

http://sbbsinfotech[.]com/56f2gsu782desf

http://stirlingblack[.]com/56f2gsu782desf

http://hunt-magzine[.]com/56f2gsu782desf

360天擎安全防護

360天擎可以成功攔截：

360天擎近期針對政企客戶推出了“敲詐先賠”計劃，在企業用戶開啟敲詐先賠功能後，如果360天擎仍無法防護，感染了敲詐者病毒，360天擎負責賠付贖金，并幫助用戶恢複數據。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!