kazaa 利用“永恒之蓝”漏洞的Yatron勒索软件

一款名为Yatron的ransomware在Twitter上宣布，如果在72小时内未能支付，它将利用ForeverBlue和DoublePulsar的漏洞感染其他计算机，并删除加密文件。

一个

Yatron ransomware

开发者推文

和其他ransomware一样，软件在执行时会扫描计算机中的目标文件并加密，并附上扩展名”。Yatron "来加密文件，如下图所示:

加密的Yatron文件

加密文件后，它将加密的密码和唯一标识发送回ransomware命令和控制服务器。据Gillespie介绍，这款ransomware是基于HiddenTear的，但其加密算法已经修改，无法用目前的方法解密。

一旦加密完成，事情就会变得更加有趣。

Yatron中包含的代码是利用“永恒蓝”和“双脉冲星”的漏洞传播到Windows设备上的，这两个漏洞使用的网络与早就应该修复的SMBv1漏洞相同。幸运的是，使用的代码并不完整，Eternalblue-2.2.0.exe和Doublepulsar-1.3.1.exe的可执行文件目前还没有包括在内。

但是，一些代码试图配置变量来执行下图中的利用率命令。

为漏洞利用配置多个变量

如果计算机上已经存在所需的可执行文件，ransomware会尝试触发它，如下图所示:

执行永恒蓝色使用的命令

除了利用漏洞，Yatron还试图通过P2P程序将ransomware可执行文件复制到Kazaa、Ares、eMule等程序使用的默认文件夹中来传播。当这些程序启动时，通过P2P客户端自动共享软件。

P2P共享

完成后，ransomware将显示一个72小时倒计时界面，直到加密文件被删除。为了防止文件被删除，用户可以使用像进程浏览器这样的工具作为管理员运行并终止勒索过程。

2

标题被提升为RaaS

Yatron已被推广为Ransomware-as-Service，但与大多数RaaS服务略有不同。通常，当罪犯想加入RaaS时，开发商将从所有提交的赎金中收取收益份额。例如，一些RaaS服务将获得所有赎金支付的20%，而合作伙伴/分销商将获得剩余的80%；Yatron开发者像另一个名为“Jokeroo”的RaaS一样，以100美元的比特币出售，然后停止支付。

Yatron RaaS服务

像所有RaaS产品一样，Yatron承诺提供FUD可执行文件，这些文件可以加密计算机和删除卷影副本。这个ransomware也是通过P2P，USB，局域网传播的。