南宫NG娱乐

首页 > 关于南宫NG娱乐 > 新闻动态 > 公司新闻

南宫NG娱乐提醒：小心仿冒DeepSeek装置包投递WannaCry勒索软件

宣布时间 2025-03-14

“让每一句人机对话都清静可信，，，，让每一次智能交互都危害可控——这是属于AI时代的清静允许。。。。 —— 南宫NG娱乐”

AI速览：

本文讨论了2025年随着DeepSeek-R1宣布引发大模子外地化安排浪潮后，，，，南宫NG娱乐VenusEye威胁情报中心发明勒索软件团伙使用仿冒DeepSeek装置包举行攻击的情形，，，，研究团队剖析了样本并给出相关信息。。。。要害要点包括:

1.攻击手段:黑客使用仿冒DeepSeek装置包(Install_DeepSeek.exe)攻击，，，，自解压释放WannaCry勒索软件和Windows XPHorror病毒。。。。

2.样本信息:初始仿冒程序Install_DeepSeek.exe，，，，文件巨细56.07MB，，，，由2个exe程序打包组成，，，，通过SFX剧本指定释放路径，，，，释放tasksche.exe和SETUP.EXE到C:\WINDOWS文件夹。。。。

3.恶意程序功效:tasksche.exe释放WannaCry模�？？榧用芪募�;._cache tasksche.exe解压缩模�？？椤⒔饷懿⒅葱蠨LL;DLL加密特定后缀文件;SETUP.EXE (Windows XP Horror病毒)修改磁盘MBR，，，，更改登录界面。。。。

4.加密文件后缀:被加密文件后缀众多，，，，加密后追加.WNCRY后缀，，，，每个文件夹释放勒索信和部分解密程序。。。。

5.溯源关联:通过比特币生意地点发明该组织一连盈利，，，，累计赚钱约54BTC，，，，超万万元人民币，，，，同时还关联到多个相关样本。。。。

2025年，，，，随着DeepSeek-R1的宣布，，，，迅速引发大模子外地化安排浪潮。。。。亘古未有的关注度也吸勒索软件团伙也紧跟热门，，，，搭建垂纶网站，，，，伪装成正当的AI软件下载平台，，，，诱导用户装置捆绑勒索软件的仿冒软件，，，，从而对受害主机上的文件举行加密，，，，以胁迫受害者支付赎金。。。。

手艺剖析

此次攻击活动的样本是伪装成DeepSeek装置包的exe文件，，，，该文件执行后，，，，通过自解压方法释放出勒索软件WannaCry和恐怖病毒Windows XP Horror，，，，划分执行这2个恶意程序。。。。WannaCry释放出勒索功效模�？？椴⒅葱�，，，，加密特定后缀的文件，，，，释放出勒索信。。。。�？？植啦《網indows XP Horror修改磁盘MBR，，，，将登录界面设置为骷髅图像并播放恐怖动图。。。。

该样本整体流程如下图所示：

图片1.png

1、初始仿冒程序

该样本为伪装成DeepSeek装置程序的exe文件，，，，其样本信息见下表：

图片2.png

初始攻击文件仿冒了DeepSeek的图标，，，，如下图所示：

图片3.png

该exe文件属于Winrar SFX自解压文件，，，，由2个exe程序打包而成，，，，如下图所示：

图片4.png

恶意软件通过SFX剧本指定tasksche.exe和SETUP.EXE的释放路径，，，，SFX剧本内容包括“DeepSeek”相关信息，，，，如下图所示：

图片5.png

通过用户点击触发SFX恶意文件后，，，，会将tasksche.exe和SETUP.EXE释放到C:\WINDOWS文件夹中：

图片6.png

同时装置执行tasksche.exe和SETUP.EXE：

图片7.png

2、 tasksche.exe

tasksche.exe由Delphi语言开发，，，，其功效是释放WannaCry勒索软件的模�？？�，，，，实现文件加密勒索功效。。。。样本信息见下表：

图片8.png

tasksche.exe的资源文件中包括一个EXE程序，，，，如下图所示：

图片9.png

tasksche.exe启动后，，，，首先会加载该资源，，，，获取资源内容。。。。然后建设文件 C:\WINDOWS\._cache_tasksche.exe，，，，并将资源中的数据写入该文件中，，，，最终执行该文件。。。。如下图所示：

图片10.png

3、 ._cache_tasksche.exe

._cache_tasksche.exe文件的样本信息见下表：

图片11.png

._cache_tasksche.exe的主要功效是从资源中解压缩出功效模�？？�，，，，解密出1个DLL并执行其特定的导出函数。。。。如下图所示：

图片12.png

首先在注册表HKLM\Software\WanaCrypt0r\wd 中写入目今路径，，，，纪录历程的事情目录(work directory)，，，，供其它模�？？槭褂�。。。。如下图所示：

图片13.png

修改后的注册表如下图所示：

图片14.png

然后使用密钥“WNcry@2ol7”将嵌入在资源中的zip压缩包解压到C:\WINDOWS。。。。如下图所示：

图片15.png

资源中的zip压缩包如下图所示：

图片16.png

该压缩包中有多个文件，，，，如下图所示：

图片17.png

读取文件 t.wnry 的内容并解密出DLL文件，，，，如下图所示：

图片18.png

解密出的DLL文件是勒索模�？？�，，，，具著名为TaskStart的导出函数，，，，如下图所示：

图片19.png

通过挪用该导出函数，，，，执行加密勒索功效。。。。

4、勒索模�？？�

上一阶段解密出的DLL文件的原始名称为kgptbeilcq，，，，认真实现详细的加密勒索功效。。。。样本信息见下表：

图片20.png

该DLL的主要功效如下图所示：

图片21.png

首先终止数据库相关历程，，，，使得能够加密数据库文件。。。。如下图所示：

图片22.png

获取磁盘驱动器名称，，，，遍历各磁盘。。。。如下图所示：

图片23.png

遍历文件夹，，，，检查文件的名称和后缀，，，，如下图所示：

图片24.png

加密以下后缀名的文件：

文件名.png

文件被加密后，，，，会被追加后缀名 .WNCRY。。。。

在每个文件夹中释放名为 @Please_Read_Me@.txt 的勒索信和名为 @WanaDecryptor@.exe 的解密程序。。。。勒索信内容如下图所示：

图片25.png

受害者通过解密程序 @WanaDecryptor@.exe，，，，可以解密出10个被加密的文件。。。。该解密程序显示了提醒信息和比特币地点，，，，并举行倒计时。。。。如下图所示：

图片26.png

5、SETUP.EXE

SETUP.EXE是古老的WindowsXP Horror病毒，，，，该病毒会修改磁盘MBR，，，，将登录界面修改为骷髅图像，，，，并播放恐怖动图。。。。

样本信息见下表：

图片27.png

样本执行后，，，，首先退出登录界面，，，，显示“Installing Windows Updates”等提醒，，，，在进度到66%时，，，，会弹出“Setup will use the file 666.sys”的提醒。。。。如下图所示：

图片28.png

登录界面会被换成骷髅图像，，，，一直切换血腥图片，，，，并播放恐怖动图。。。。

点击桌面的图标后，，，，会弹出提醒框，，，，并把图标移动到接纳站。。。。

操作系统瓦解并显示红色配景，，，，如下图所示：

图片29.png

溯源关联

1. 通过对该组织提供的比特币生意地点，，，，跟踪到该组织在2024年尾收到几笔受害者支付的BTC。。。。说明该组织依旧在依赖勒索软件一连盈利：

图片30.png

图片31.png

同时通过对历史信息的统计，，，，可以视察到该组织在披露的地点上累计赚钱约54BTC，，，，按目今汇率估算已凌驾万万元人民币。。。。

2. 通过对初始样本的特征举行关联，，，，发明以下与本次攻击活动相关的样本：

MD5：

c27fc192811dad928730b24fd8150a03

2e5f24942932190e577319a7e81b83e4

33e884e59a7c1e1d6af5b19a283a04a7

4d4f7bfac3a17767cb9a7f88737b7ef5

061a8f66ec2f86f9668c0c157ed54b6c

5a02e019a2a7920d0b23326a616bf88f

a7389982054233436020f0ada0765a48

ATT&CK

该样本所接纳的攻击技战法与ATT&CK的映射如下表所示：

图片32.png

IoCs

图片33.png

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 南宫NG娱乐版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】