Locky勒索软件变种中的变量名 大量使用“权利的游戏”角色名字

Locky勒索软件最早出现在2016年,曾经一度肆虐国内,近期该勒索软件又出现变种。PhishMe 研究员Victor Cornell说,根据 PhishMe 的研究人员最近的发现, Locky勒索软件后面的小组是 HBO热剧权利的游戏的粉丝, 所以他们用了一些显示字符和其他参考的名字,来给最近的脚本加上了大量的内容。

Locky勒索软件变种中的变量名 大量使用“权利的游戏”角色名字

研究人员在 Visual Basic 脚本中发现了这些引用, 这些内容是附加到电子邮件垃圾邮件的 ZIP 或 RAR 存档的一部分。如果用户打开这些电子邮件, 保存附件, 并运行包含在里面的 VB 脚本, 该文件将下载并安装 Locky勒索软件。

在此 VB 脚本中找到的变量名引用了权利的游戏中的角色名字, 如 "Aria"、"SansaStark"、"RobertBaration"、"JohnSnow" 或 "HoldTheDoor" (aka Hodor)。此外, "Throne" 一词在脚本中使用了70次。

此脚本的运行时对变量名漠不关心。变量名可能是任何东西, 包括完全随机的字母和数字组合,这位专家还说:

"然而, 对这次攻击负责的犯罪分子选择了一个独特的变量主题,

从而揭示了他们对这种流行文化现象的兴趣。

据独立安全研究员 MalwareHunter表示, 该脚本已被部署在互联网并感染了几个星期。

Locky勒索软件变种IOCs

File name: SCNMSG00001018.vbs
MD5: 170ae05fb405e9f2b2a4474739b75a66             
SHA256: fc89d30e245a8b166af2e17b2d7b6835ff15999d746b91214edcfdc7b9c5db35

发表评论