近期，安全研究專家發現了一款非常有意思的惡意軟件，它會根據目標用戶的電腦配置來決定到底用哪個方案來從用戶身上牟利。

[[237427]]

勒索軟件可以鎖定你的電腦，并通過對數據進行加密來阻止你訪問自己電腦中的文件，直到你向攻擊者支付贖金才行，而非法挖礦軟件利用的是目標用戶設備的CPU算力以及電能來挖加密貨幣。這兩種攻擊在這兩年里已經成為了廣大用戶面臨的主要威脅，作為非針對性攻擊而言，這兩種攻擊具有一定的相似性，因為它們不僅都需要從目標用戶身上牟取利益，而且兩者都涉及到加密貨幣。

但是，鎖定目標用戶的電腦并不一定能夠給攻擊者帶來利益，因為很多用戶的電腦中并沒有存儲多少有價值的東西，因此很多攻擊者便開始通過利用目標設備的CPU和電能來賺錢，也就是所謂的惡意挖礦。

卡巴斯基實驗室的研究人員將這款惡意軟件命名為Rakhni勒索軟件，而且Rakhni近期更新得也比較頻繁，并提升了其挖礦能力。

Rakhni采用Delphi編寫，并通過微軟Word文檔附件(釣魚郵件)的形式進行傳播，當目標用戶打開附件文檔之后，文件會提醒用戶保存文檔并啟用編輯功能。該文檔包含一個PDF圖標，點擊之后便會在目標用戶設備上運行惡意可執行文件，并立刻顯示偽造的錯誤提示框，然后欺騙用戶讓他們以為系統缺失了相關的組件。

Rakhni如何判斷進行哪種感染操作?

在后臺，Rakhni會進行很多反虛擬機和反沙箱檢測操作，如果所有條件都滿足，它便會進行下一步檢測來判斷使用哪一個感染Payload，即感染勒索軟件還是挖礦軟件。

1. 安裝勒索軟件：

目標系統的AppData目錄中是否擁有跟“比特幣”相關的內容?

在使用RSA-1024加密算法對文件進行加密之前，惡意軟件會終止預定義列表中所有指定的熱門應用進程，并通過文本文件顯示勒索信息。

2. 安裝加密貨幣挖礦軟件：

若目標系統中沒有跟“比特幣”相關的內容，而設備又擁有兩個或以上的邏輯處理器。

如果系統感染了挖礦軟件，它便會使用MinerGate工具在后臺挖XMR、XMO換個DSH等加密貨幣。

除此之外，它還會使用CertMgr.exe工具來安裝偽造的證書，并聲稱該證書由微軟和Adobe公司發布，然后嘗試將挖礦軟件偽裝成合法進程。

3. 激活蠕蟲組件：

若目標系統中沒有跟“比特幣”相關的內容，而設備又只擁有一個邏輯處理器。

這個組件將幫助惡意軟件在本地網絡設備中實現自我復制。

除了感染判斷之外，Rakhni還會檢測目標設備是否運行了反病毒軟件，如果沒有運行，Rakhni將會運行多個cmd命令來嘗試禁用Windows Defender。

竟然還有間諜軟件功能?

研究人員表示，Rakhni另一個非常有意思的地方就在于它還具備了某些間諜軟件功能，其中包括列舉正在運行的進程列表以及實現屏幕截圖。

這款惡意軟件主要針對的是俄羅斯地區的用戶(95.5%)，其中還有一小部分用戶位于哈薩克斯坦(1.36%)、烏克蘭(0.57%)、德國(0.49%)和印度(0.41%)等地。

緩解方案

保護用戶安全最好的方法就是不要打開郵件中嵌帶的可疑文件和鏈接，并定期更新你的反病毒軟件。除此之外，別忘了定期備份有價值的數據。