发现远程控制软件AnyDesk与勒索软件捆绑在一起. 一旦50刀攻击成功，它就可能消失

Trend Micro在5月2日（星期二）发布了一篇博客文章，他们最近发现了BlackRouter勒索软件的新变种（趋势科技检测为RANSOM_BLACKHEART.THDBCAH），该变种正在通过法律将其恶意有效负载下载并执行远程控制软件AnyDesk.

值得注意的是，这并不是BlackRouter勒索软件第一次使用类似工具进行传播. 根据相关报道，以前的BlackRouter变体与TeamViewer捆绑在一起，TeamViewer是一种拥有超过2亿用户的远程控制软件.

尽管尚不清楚有关新Blackheart变种如何进入系统的具体细节，但趋势科技研究人员表示墨者趋势科技杀毒软件，他们确实可以确定受害者可能会在不知不觉中将其下载到某些恶意网站Ransomware.

下载完成后，勒索软件将下载两个文件（ANYDESK.exe和BLACKROUTER.exe）并将其保存到用户临时文件夹（User Temp）中，然后执行.

第一个文件包含AnyDesk，这是一个功能强大的应用程序，可以在不同的桌面操作系统（包括Windows，MacOS，Linux和FreeBSD）之间进行双向远程控制，并且可以进行Android和iOS单向访问. 此外，它还可以执行文件传输，充当聊天客户端并记录会话.

需要提及的是，攻击者使用了旧版本的AnyDesk而不是当前版本. 在执行过程中，它将通过CMD命令删除卷影副本（“ cmd.exe” / c vssadmin.exe删除卷影/全部/安静）.

第二个文件实质上是恶意勒索软件. 根据趋势科技的分析墨者趋势科技杀毒软件，它会加密具有各种扩展名的文件. 完整列表如下:

它将在以下文件夹中搜索并加密上述扩展文件:

找到并加密文件后，会将.BlackRouter扩展名附加到加密文件中. 完成加密过程后，将在所有驱动器和台式机上放置一个名为“ ReadME-BlackRouter.txt”的赎金记录. 根据赎金记录上显示的信息，攻击者要求受害者支付50美元或0.006164 BTC作为赎金，以解密该文件.

Trend Micro认为与AnyDesk捆绑似乎是一种用于逃避安全检测的策略. 一旦下载了BlackRouter勒索软件，AnyDesk将开始在受感染系统的后台运行，这将掩盖勒索软件执行的加密过程.

攻击者选择AnyDesk的原因可能是因为它已成为Teamviewer的替代产品，因为在被报告后，Teamviewer团队已采用了一些工具来提供反恶意软件保护. 此外，趋势科技发现了另一个类似的示例，攻击者将键盘记录程序（趋势科技检测为TSPY_KEYLOGGER.THDBEAH）与AnyDesk捆绑在一起.

目前，AnyDesk团队已经承认存在勒索软件，并表示他们将讨论可能的措施.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-217590-1.html