8827太阳集团

首页 > 关于8827太阳集团 > 新闻动态 > 公司新闻

8827太阳集团提醒：警惕仿冒DeepSeek装置包投递WannaCry勒索软件

颁布功夫 2025-03-14

“让每一句人机对话都安全可信，，，，，，，让每一次智能交互都风险可控——这是属于AI时期的安全承诺。。。。。 —— 8827太阳集团”

AI速览：

本文会商了2025年随着DeepSeek-R1颁布引发大模型本地化部署海潮后，，，，，，，8827太阳集团VenusEye威胁谍报中心发现勒索软件团伙利用仿冒DeepSeek装置包进行攻击的情况，，，，，，，钻研团队分析了样本并给出有关信息。。。。。关键重点蕴含:

1.攻击伎俩:黑客利用仿冒DeepSeek装置包(Install_DeepSeek.exe)攻击，，，，，，，自解压开释WannaCry勒索软件和Windows XPHorror病毒。。。。。

2.样本信息:初始仿冒法式Install_DeepSeek.exe，，，，，，，文件大幼56.07MB，，，，，，，由2个exe法式打包组成，，，，，，，通过SFX剧本指定开释蹊径，，，，，，，开释tasksche.exe和SETUP.EXE到C:\WINDOWS文件夹。。。。。

3.恶意法式职能:tasksche.exe开释WannaCry�？？？？？？？榧用芪募�;._cache tasksche.exe解压缩�？？？？？？？椤⒔饷懿⒅葱蠨LL;DLL加密特定后缀文件;SETUP.EXE (Windows XP Horror病毒)批改磁盘MBR，，，，，，，更改登录界面。。。。。

4.加密文件后缀:被加密文件后缀多多，，，，，，，加密后追加.WNCRY后缀，，，，，，，每个文件夹开释勒索信和部门化密法式。。。。。

5.溯源关联:通过比特币买卖地址发现该组织持续盈利，，，，，，，累计获利约54BTC，，，，，，，超千万元人民币，，，，，，，同时还关联到多个有关样本。。。。。

2025年，，，，，，，随着DeepSeek-R1的颁布，，，，，，，迅速引发大模型本地化部署海潮。。。。。前所未有的关注度也吸勒索软件团伙也紧跟热点，，，，，，，搭建垂钓网站，，，，，，，假装成合法的AI软件下载平台，，，，，，，诱导用户装置绑缚勒索软件的仿冒软件，，，，，，，从而对受害主机上的文件进行加密，，，，，，，以胁迫受害者支付赎金。。。。。

技术分析

这次攻击活动的样本是假装成DeepSeek装置包的exe文件，，，，，，，该文件执行后，，，，，，，通过自解压方式开释出勒索软件WannaCry和恐怖病毒Windows XP Horror，，，，，，，别离执行这2个恶意法式。。。。。WannaCry开释出勒索职能�？？？？？？？椴⒅葱校�，，，，，，加密特定后缀的文件，，，，，，，开释出勒索信。。。。�？？？？？？？植啦《網indows XP Horror批改磁盘MBR，，，，，，，将登录界面设置为骷髅图像并播放恐怖动图。。。。。

该样本整体流程如下图所示：

图片1.png

1、初始仿冒法式

该样本为假装成DeepSeek装置法式的exe文件，，，，，，，其样本信息见下表：

图片2.png

初始攻击文件仿冒了DeepSeek的图标，，，，，，，如下图所示：

图片3.png

该exe文件属于Winrar SFX自解压文件，，，，，，，由2个exe法式打包而成，，，，，，，如下图所示：

图片4.png

恶意软件通过SFX剧本指定tasksche.exe和SETUP.EXE的开释蹊径，，，，，，，SFX剧本内容蕴含“DeepSeek”有关信息，，，，，，，如下图所示：

图片5.png

通过用户点击触发SFX恶意文件后，，，，，，，会将tasksche.exe和SETUP.EXE开释到C:\WINDOWS文件夹中：

图片6.png

同时装置执行tasksche.exe和SETUP.EXE：

图片7.png

2、 tasksche.exe

tasksche.exe由Delphi说话开发，，，，，，，其职能是开释WannaCry勒索软件的�？？？？？？？椋�，，，，，，实现文件加密勒索职能。。。。。样本信息见下表：

图片8.png

tasksche.exe的资源文件中蕴含一个EXE法式，，，，，，，如下图所示：

图片9.png

tasksche.exe启动后，，，，，，，首先会加载该资源，，，，，，，获取资源内容。。。。。而后创建文件 C:\WINDOWS\._cache_tasksche.exe，，，，，，，并将资源中的数据写入该文件中，，，，，，，最终执行该文件。。。。。如下图所示：

图片10.png

3、 ._cache_tasksche.exe

._cache_tasksche.exe文件的样本信息见下表：

图片11.png

._cache_tasksche.exe的重要职能是从资源中解压缩出职能�？？？？？？？椋�，，，，，，解密出1个DLL并执行其特定的导出函数。。。。。如下图所示：

图片12.png

首先在注册表HKLM\Software\WanaCrypt0r\wd 中写入当前蹊径，，，，，，，纪录过程的工作目录(work directory)，，，，，，，供其它�？？？？？？？槭褂�。。。。。如下图所示：

图片13.png

批改后的注册表如下图所示：

图片14.png

而后使用密钥“WNcry@2ol7”将嵌入在资源中的zip压缩包解压到C:\WINDOWS。。。。。如下图所示：

图片15.png

资源中的zip压缩包如下图所示：

图片16.png

该压缩包中有多个文件，，，，，，，如下图所示：

图片17.png

读取文件 t.wnry 的内容并解密出DLL文件，，，，，，，如下图所示：

图片18.png

解密出的DLL文件是勒索�？？？？？？？椋�，，，，，，拥有名为TaskStart的导出函数，，，，，，，如下图所示：

图片19.png

通过挪用该导出函数，，，，，，，执行加密勒索职能。。。。。

4、勒索�？？？？？？？�

上一阶段解密出的DLL文件的原始名称为kgptbeilcq，，，，，，，掌管实现具体的加密勒索职能。。。。。样本信息见下表：

图片20.png

该DLL的重要职能如下图所示：

图片21.png

首先终止数据库有关过程，，，，，，，使得可能加密数据库文件。。。。。如下图所示：

图片22.png

获取磁盘驱动器名称，，，，，，，遍历各磁盘。。。。。如下图所示：

图片23.png

遍历文件夹，，，，，，，查抄文件的名称和后缀，，，，，，，如下图所示：

图片24.png

加密以下后缀名的文件：

文件名.png

文件被加密后，，，，，，，会被追加后缀名 .WNCRY。。。。。

在每个文件夹中开释名为 @Please_Read_Me@.txt 的勒索信和名为 @WanaDecryptor@.exe 的解密法式。。。。。勒索信内容如下图所示：

图片25.png

受害者通过解密法式 @WanaDecryptor@.exe，，，，，，，能够解密出10个被加密的文件。。。。。该解密法式显示了提醒信息和比特币地址，，，，，，，并进行倒计时。。。。。如下图所示：

图片26.png

5、SETUP.EXE

SETUP.EXE是古老的WindowsXP Horror病毒，，，，，，，该病毒会批改磁盘MBR，，，，，，，将登录界面批改为骷髅图像，，，，，，，并播放恐怖动图。。。。。

样本信息见下表：

图片27.png

样本执行后，，，，，，，首先退出登录界面，，，，，，，显示“Installing Windows Updates”等提醒，，，，，，，在进度到66%时，，，，，，，会弹出“Setup will use the file 666.sys”的提醒。。。。。如下图所示：

图片28.png

登录界面会被换成骷髅图像，，，，，，，不休切换血腥图片，，，，，，，并播放恐怖动图。。。。。

点击桌面的图标后，，，，，，，会弹出提醒框，，，，，，，并把图标移动到回收站。。。。。

操作系统崩溃并显示红色布景，，，，，，，如下图所示：

图片29.png

溯源关联

1. 通过对该组织提供的比特币买卖地址，，，，，，，跟踪到该组织在2024岁暮收到几笔受害者支付的BTC。。。。。注明该组织仍旧在依附勒索软件持续盈利：

图片30.png

图片31.png

同时通过对汗青信息的统计，，，，，，，能够观测到该组织在披露的地址上累计获利约54BTC，，，，，，，按当前汇率估算已超过千万元人民币。。。。。

2. 通过对初始样本的特点进行关联，，，，，，，发现以下与本次攻击活动有关的样本：

MD5：

c27fc192811dad928730b24fd8150a03

2e5f24942932190e577319a7e81b83e4

33e884e59a7c1e1d6af5b19a283a04a7

4d4f7bfac3a17767cb9a7f88737b7ef5

061a8f66ec2f86f9668c0c157ed54b6c

5a02e019a2a7920d0b23326a616bf88f

a7389982054233436020f0ada0765a48

ATT&CK

该样本所选取的攻击技战法与ATT&CK的映射如下表所示：

图片32.png

IoCs

图片33.png

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】