东森平台

首页 > 关于东森平台 > 新闻动态 > 公司新闻

东森平台提醒：警惕仿冒DeepSeek安装包投递WannaCry勒索软件

宣布时间 2025-03-14

“让每一句人机对话都宁静可信，让每一次智能交互都风险可控——这是属于AI时代的宁静允许。 —— 东森平台”

AI速览：

本文讨论了2025年随着DeepSeek-R1宣布引发大模型当地化部署浪潮后，东森平台VenusEye威胁情报中心发现勒索软件团伙利用仿冒DeepSeek安装包进行攻击的情况，研究团队分析了样本并给出相关信息。要害要点包罗:

1.攻击手段:黑客利用仿冒DeepSeek安装包(Install_DeepSeek.exe)攻击，自解压释放WannaCry勒索软件和Windows XPHorror病毒。

2.样本信息:初始仿冒法式Install_DeepSeek.exe，文件巨细56.07MB，由2个exe法式打包组成，通过SFX脚本指定释放路径，释放tasksche.exe和SETUP.EXE到C:\WINDOWS文件夹。

3.恶意法式功效:tasksche.exe释放WannaCry�？榧用芪募�;._cache tasksche.exe解压缩�？椤⒔饷懿⒅葱蠨LL;DLL加密特定后缀文件;SETUP.EXE (Windows XP Horror病毒)修改磁盘MBR，更改登录界面。

4.加密文件后缀:被加密文件后缀众多，加密后追加.WNCRY后缀，每个文件夹释放勒索信和部门解密法式。

5.溯源关联:通过比特币交易地址发现该组织连续盈利，累计获利约54BTC，超千万元人民币，同时还关联到多个相关样本。

2025年，随着DeepSeek-R1的宣布，迅速引发大模型当地化部署浪潮。前所未有的关注度也吸勒索软件团伙也紧跟热点，搭建钓鱼网站，伪装成合法的AI软件下载平台，诱导用户安装捆绑勒索软件的仿冒软件，从而对受害主机上的文件进行加密，以胁迫受害者支付赎金。

技术分析

此次攻击活动的样本是伪装成DeepSeek安装包的exe文件，该文件执行后，通过自解压方式释放出勒索软件WannaCry和恐怖病毒Windows XP Horror，分别执行这2个恶意法式。WannaCry释放出勒索功效�？椴⒅葱�，加密特定后缀的文件，释放出勒索信�？植啦《網indows XP Horror修改磁盘MBR，将登录界面设置为骷髅图像并播放恐怖动图。

该样本整体流程如下图所示：

图片1.png

1、初始仿冒法式

该样本为伪装成DeepSeek安装法式的exe文件，其样本信息见下表：

图片2.png

初始攻击文件仿冒了DeepSeek的图标，如下图所示：

图片3.png

该exe文件属于Winrar SFX自解压文件，由2个exe法式打包而成，如下图所示：

图片4.png

恶意软件通过SFX脚本指定tasksche.exe和SETUP.EXE的释放路径，SFX脚本内容包罗“DeepSeek”相关信息，如下图所示：

图片5.png

通过用户点击触发SFX恶意文件后，会将tasksche.exe和SETUP.EXE释放到C:\WINDOWS文件夹中：

图片6.png

同时安装执行tasksche.exe和SETUP.EXE：

图片7.png

2、 tasksche.exe

tasksche.exe由Delphi语言开发，其功效是释放WannaCry勒索软件的�？�，实现文件加密勒索功效。样本信息见下表：

图片8.png

tasksche.exe的资源文件中包罗一个EXE法式，如下图所示：

图片9.png

tasksche.exe启动后，首先会加载该资源，获取资源内容。然后创建文件 C:\WINDOWS\._cache_tasksche.exe，并将资源中的数据写入该文件中，最终执行该文件。如下图所示：

图片10.png

3、 ._cache_tasksche.exe

._cache_tasksche.exe文件的样本信息见下表：

图片11.png

._cache_tasksche.exe的主要功效是从资源中解压缩出功效�？�，解密出1个DLL并执行其特定的导出函数。如下图所示：

图片12.png

首先在注册表HKLM\Software\WanaCrypt0r\wd 中写入当前路径，记录进程的事情目录(work directory)，供其它�？槭褂�。如下图所示：

图片13.png

修改后的注册表如下图所示：

图片14.png

然后使用密钥“WNcry@2ol7”将嵌入在资源中的zip压缩包解压到C:\WINDOWS。如下图所示：

图片15.png

资源中的zip压缩包如下图所示：

图片16.png

该压缩包中有多个文件，如下图所示：

图片17.png

读取文件 t.wnry 的内容并解密出DLL文件，如下图所示：

图片18.png

解密出的DLL文件是勒索�？�，具有名为TaskStart的导出函数，如下图所示：

图片19.png

通过调用该导出函数，执行加密勒索功效。

4、勒索�？�

上一阶段解密出的DLL文件的原始名称为kgptbeilcq，卖力实现具体的加密勒索功效。样本信息见下表：

图片20.png

该DLL的主要功效如下图所示：

图片21.png

首先终止数据库相关进程，使得能够加密数据库文件。如下图所示：

图片22.png

获取磁盘驱动器名称，遍历各磁盘。如下图所示：

图片23.png

遍历文件夹，检查文件的名称和后缀，如下图所示：

图片24.png

加密以下后缀名的文件：

文件名.png

文件被加密后，会被追加后缀名 .WNCRY。

在每个文件夹中释放名为 @Please_Read_Me@.txt 的勒索信和名为 @WanaDecryptor@.exe 的解密法式。勒索信内容如下图所示：

图片25.png

受害者通过解密法式 @WanaDecryptor@.exe，可以解密出10个被加密的文件。该解密法式显示了提示信息和比特币地址，并进行倒计时。如下图所示：

图片26.png

5、SETUP.EXE

SETUP.EXE是古老的WindowsXP Horror病毒，该病毒会修改磁盘MBR，将登录界面修改为骷髅图像，并播放恐怖动图。

样本信息见下表：

图片27.png

样本执行后，首先退出登录界面，显示“Installing Windows Updates”等提示，在进度到66%时，会弹出“Setup will use the file 666.sys”的提示。如下图所示：

图片28.png

登录界面会被换成骷髅图像，不停切换血腥图片，并播放恐怖动图。

点击桌面的图标后，会弹出提示框，并把图标移动到回收站。

操作系统瓦解并显示红色配景，如下图所示：

图片29.png

溯源关联

1. 通过对该组织提供的比特币交易地址，跟踪到该组织在2024年末收到几笔受害者支付的BTC。说明该组织依旧在依靠勒索软件连续盈利：

图片30.png

图片31.png

同时通过对历史信息的统计，可以视察到该组织在披露的地址上累计获利约54BTC，按当前汇率估算已凌驾千万元人民币。

2. 通过对初始样本的特征进行关联，发现以下与本次攻击活动相关的样本：

MD5：

c27fc192811dad928730b24fd8150a03

2e5f24942932190e577319a7e81b83e4

33e884e59a7c1e1d6af5b19a283a04a7

4d4f7bfac3a17767cb9a7f88737b7ef5

061a8f66ec2f86f9668c0c157ed54b6c

5a02e019a2a7920d0b23326a616bf88f

a7389982054233436020f0ada0765a48

ATT&CK

该样本所接纳的攻击技战法与ATT&CK的映射如下表所示：

图片32.png

IoCs

图片33.png

上一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号