918博天堂

首页 > 关于918博天堂 > 新闻动态 > 公司新闻

918博天堂提醒：小心仿冒DeepSeek装置包投递WannaCry勒索软件

宣布时间 2025-03-14

“让每一句人机对话都清静可信，，，，，，，让每一次智能交互都危害可控——这是属于AI时代的清静允许。。。 —— 918博天堂”

AI速览：

本文讨论了2025年随着DeepSeek-R1宣布引发大模子外地化安排浪潮后，，，，，，，918博天堂VenusEye威胁情报中心发明勒索软件团伙使用仿冒DeepSeek装置包举行攻击的情形，，，，，，，研究团队剖析了样本并给出相关信息。。。要害要点包括:

1.攻击手段:黑客使用仿冒DeepSeek装置包(Install_DeepSeek.exe)攻击，，，，，，，自解压释放WannaCry勒索软件和Windows XPHorror病毒。。。

2.样本信息:初始仿冒程序Install_DeepSeek.exe，，，，，，，文件巨细56.07MB，，，，，，，由2个exe程序打包组成，，，，，，，通过SFX剧本指定释放路径，，，，，，，释放tasksche.exe和SETUP.EXE到C:\WINDOWS文件夹。。。

3.恶意程序功效:tasksche.exe释放WannaCry�？？？？？？榧用芪募�;._cache tasksche.exe解压缩�？？？？？？椤⒔饷懿⒅葱蠨LL;DLL加密特定后缀文件;SETUP.EXE (Windows XP Horror病毒)修改磁盘MBR，，，，，，，更改登录界面。。。

4.加密文件后缀:被加密文件后缀众多，，，，，，，加密后追加.WNCRY后缀，，，，，，，每个文件夹释放勒索信和部分解密程序。。。

5.溯源关联:通过比特币生意地点发明该组织一连盈利，，，，，，，累计赚钱约54BTC，，，，，，，超万万元人民币，，，，，，，同时还关联到多个相关样本。。。

2025年，，，，，，，随着DeepSeek-R1的宣布，，，，，，，迅速引发大模子外地化安排浪潮。。。亘古未有的关注度也吸勒索软件团伙也紧跟热门，，，，，，，搭建垂纶网站，，，，，，，伪装成正当的AI软件下载平台，，，，，，，诱导用户装置捆绑勒索软件的仿冒软件，，，，，，，从而对受害主机上的文件举行加密，，，，，，，以胁迫受害者支付赎金。。。

手艺剖析

此次攻击活动的样本是伪装成DeepSeek装置包的exe文件，，，，，，，该文件执行后，，，，，，，通过自解压方法释放出勒索软件WannaCry和恐怖病毒Windows XP Horror，，，，，，，划分执行这2个恶意程序。。。WannaCry释放出勒索功效�？？？？？？椴⒅葱校�，，，，，，加密特定后缀的文件，，，，，，，释放出勒索信。。�？？？？？？植啦《網indows XP Horror修改磁盘MBR，，，，，，，将登录界面设置为骷髅图像并播放恐怖动图。。。

该样本整体流程如下图所示：

图片1.png

1、初始仿冒程序

该样本为伪装成DeepSeek装置程序的exe文件，，，，，，，其样本信息见下表：

图片2.png

初始攻击文件仿冒了DeepSeek的图标，，，，，，，如下图所示：

图片3.png

该exe文件属于Winrar SFX自解压文件，，，，，，，由2个exe程序打包而成，，，，，，，如下图所示：

图片4.png

恶意软件通过SFX剧本指定tasksche.exe和SETUP.EXE的释放路径，，，，，，，SFX剧本内容包括“DeepSeek”相关信息，，，，，，，如下图所示：

图片5.png

通过用户点击触发SFX恶意文件后，，，，，，，会将tasksche.exe和SETUP.EXE释放到C:\WINDOWS文件夹中：

图片6.png

同时装置执行tasksche.exe和SETUP.EXE：

图片7.png

2、 tasksche.exe

tasksche.exe由Delphi语言开发，，，，，，，其功效是释放WannaCry勒索软件的�？？？？？？椋�，，，，，，实现文件加密勒索功效。。。样本信息见下表：

图片8.png

tasksche.exe的资源文件中包括一个EXE程序，，，，，，，如下图所示：

图片9.png

tasksche.exe启动后，，，，，，，首先会加载该资源，，，，，，，获取资源内容。。。然后建设文件 C:\WINDOWS\._cache_tasksche.exe，，，，，，，并将资源中的数据写入该文件中，，，，，，，最终执行该文件。。。如下图所示：

图片10.png

3、 ._cache_tasksche.exe

._cache_tasksche.exe文件的样本信息见下表：

图片11.png

._cache_tasksche.exe的主要功效是从资源中解压缩出功效�？？？？？？椋�，，，，，，解密出1个DLL并执行其特定的导出函数。。。如下图所示：

图片12.png

首先在注册表HKLM\Software\WanaCrypt0r\wd 中写入目今路径，，，，，，，纪录历程的事情目录(work directory)，，，，，，，供其它�？？？？？？槭褂�。。。如下图所示：

图片13.png

修改后的注册表如下图所示：

图片14.png

然后使用密钥“WNcry@2ol7”将嵌入在资源中的zip压缩包解压到C:\WINDOWS。。。如下图所示：

图片15.png

资源中的zip压缩包如下图所示：

图片16.png

该压缩包中有多个文件，，，，，，，如下图所示：

图片17.png

读取文件 t.wnry 的内容并解密出DLL文件，，，，，，，如下图所示：

图片18.png

解密出的DLL文件是勒索�？？？？？？椋�，，，，，，具著名为TaskStart的导出函数，，，，，，，如下图所示：

图片19.png

通过挪用该导出函数，，，，，，，执行加密勒索功效。。。

4、勒索�？？？？？？�

上一阶段解密出的DLL文件的原始名称为kgptbeilcq，，，，，，，认真实现详细的加密勒索功效。。。样本信息见下表：

图片20.png

该DLL的主要功效如下图所示：

图片21.png

首先终止数据库相关历程，，，，，，，使得能够加密数据库文件。。。如下图所示：

图片22.png

获取磁盘驱动器名称，，，，，，，遍历各磁盘。。。如下图所示：

图片23.png

遍历文件夹，，，，，，，检查文件的名称和后缀，，，，，，，如下图所示：

图片24.png

加密以下后缀名的文件：

文件名.png

文件被加密后，，，，，，，会被追加后缀名 .WNCRY。。。

在每个文件夹中释放名为 @Please_Read_Me@.txt 的勒索信和名为 @WanaDecryptor@.exe 的解密程序。。。勒索信内容如下图所示：

图片25.png

受害者通过解密程序 @WanaDecryptor@.exe，，，，，，，可以解密出10个被加密的文件。。。该解密程序显示了提醒信息和比特币地点，，，，，，，并举行倒计时。。。如下图所示：

图片26.png

5、SETUP.EXE

SETUP.EXE是古老的WindowsXP Horror病毒，，，，，，，该病毒会修改磁盘MBR，，，，，，，将登录界面修改为骷髅图像，，，，，，，并播放恐怖动图。。。

样本信息见下表：

图片27.png

样本执行后，，，，，，，首先退出登录界面，，，，，，，显示“Installing Windows Updates”等提醒，，，，，，，在进度到66%时，，，，，，，会弹出“Setup will use the file 666.sys”的提醒。。。如下图所示：

图片28.png

登录界面会被换成骷髅图像，，，，，，，一直切换血腥图片，，，，，，，并播放恐怖动图。。。

点击桌面的图标后，，，，，，，会弹出提醒框，，，，，，，并把图标移动到接纳站。。。

操作系统瓦解并显示红色配景，，，，，，，如下图所示：

图片29.png

溯源关联

1. 通过对该组织提供的比特币生意地点，，，，，，，跟踪到该组织在2024年尾收到几笔受害者支付的BTC。。。说明该组织依旧在依赖勒索软件一连盈利：

图片30.png

图片31.png

同时通过对历史信息的统计，，，，，，，可以视察到该组织在披露的地点上累计赚钱约54BTC，，，，，，，按目今汇率估算已凌驾万万元人民币。。。

2. 通过对初始样本的特征举行关联，，，，，，，发明以下与本次攻击活动相关的样本：

MD5：

c27fc192811dad928730b24fd8150a03

2e5f24942932190e577319a7e81b83e4

33e884e59a7c1e1d6af5b19a283a04a7

4d4f7bfac3a17767cb9a7f88737b7ef5

061a8f66ec2f86f9668c0c157ed54b6c

5a02e019a2a7920d0b23326a616bf88f

a7389982054233436020f0ada0765a48

ATT&CK

该样本所接纳的攻击技战法与ATT&CK的映射如下表所示：

图片32.png

IoCs

图片33.png

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 918博天堂版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】