新的Rakhni变种可以用勒索软件或矿工来感染系统

卡巴斯基实验室的安全研究人员发现了一种新的Rakhni恶意软件，它可以用勒索软件或加密货币矿工来感染系统。

来自卡巴斯基实验室的专家发现了一种Rakhni勒索软件系列的新菌株，它可以根据其配置感染勒索软件或加密货币的系统。

“早在2013年，我们的恶意软件分析师就发现了与Trojan-Ransom.Win32.Rakhni家族相关的第一批恶意样本。” 卡巴斯基发布的分析报告。

“现在，犯罪分子已经决定为他们的创作添加一项新功能 - 一种采矿能力。在本文中，我们描述了一个下载器，它决定如何感染受害者：使用加密器或使用矿工。“

Rakhni恶意软件通过鱼叉式网络钓鱼邮件进行传播，这些邮件在附件中包含武器化的MS文件。

一旦受害者打开文档，它将提示他们保存文档并启用编辑。该文档包含一个PDF图标，如果单击该图标将启动恶意可执行文件，并在执行时立即显示伪造的错误消息框。

该消息通知受害者无法打开PDF文件，因为缺少系统文件。

在后台，Rakhni恶意软件进行反VM和反沙箱检查，以确定是否可能感染系统。如果恶意软件确定可能感染系统，则会执行更多检查以确定是否提供勒索软件或加密货币挖掘器。

“下载密码或矿工的决定取决于文件夹％AppData％\ Bitcoin的存在。如果文件夹存在，下载程序决定下载加密。“继续分析。
“如果文件夹不存在且机器有两个以上的逻辑处理器，则将下载该矿工。如果没有文件夹而只有一个逻辑处理器，则下载程序将跳转到其蠕虫组件，这将在本文的相应部分中进行描述。
如果目标系统在AppData部分中有“比特币”文件夹，则恶意软件首先终止与预定义的常用应用程序列表匹配的所有进程，然后使用RSA-1024加密算法加密文件，然后通过文本文件显示勒索信息。

在使用RSA-1024加密算法加密文件之前，恶意软件会终止与预定义的常用应用程序列表匹配的所有进程，然后通过文本文件显示勒索信息。

如果“比特币”文件夹不存在且机器有两个以上的逻辑处理器，则恶意软件会将MinerGate实用程序丢弃到后台使用Monero（XMR），Monero Original（XMO）和Dashcoin（DSH）加密货币。

Rakhni恶意软件的这种变体会安装存储在其资源中的根证书，并且下载的每个可执行文件都使用此证书进行签名。我们发现声称由微软公司和Adobe Systems Incorporated发行的假证书。
专家还注意到，恶意软件使用CertMgr.exe实用程序来安装声称由Microsoft Corporation和Adobe Systems Incorporated发布的假根证书，以试图将矿工伪装成可信进程。

如果受感染的系统没有“比特币”文件夹并且只有一个逻辑处理器，则恶意软件会激活蠕虫组件，该组件允许恶意代码使用共享资源在本地网络中的所有计算机之间传播。

“作为其最后一项操作之一，下载程序会尝试将自身复制到本地网络中的所有计算机。为此，它调用系统命令'net view / all'将返回所有共享，然后特洛伊木马创建包含共享资源的计算机名称的list.log文件“研究人员报告。

“对于文件中列出的每台计算机，特洛伊木马会检查用户是否共享文件夹，如果是，则恶意软件将自身复制到每个可访问用户的文件夹\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup”，

专家们还注意到恶意软件实现了间谍软件功能。

大多数感染发生在俄罗斯（95.5％），其他感染恶意软件的系统分别来自哈萨克斯坦（1.36％），乌克兰（0.57％），德国（0.49％）和印度（0.41％）。