假冒AdShieldPro應用程序分發混合挖礦勒索軟件

一個混合的Monero礦工和勒索軟件在60天內影響了2萬臺機器。卡巴斯基的報告解釋說，惡意軟件偽裝成一個名為“AdShield Pro”的應用程序，除了模仿OpenDNS服務外，其外觀和行為都類似于Windows版本的合法AdShield移動廣告攔截程序。當用戶啟動該程序后，它會改變設備上的DNS設置，這樣所有的域都通過攻擊者的服務器解析，從而阻止用戶訪問特定的反病毒網站，如Malwarebytes.com。在替換DNS服務器后，惡意軟件開始通過運行update.exe來自我更新。該更新程序還會下載并運行經過修改的Transmission torrent客戶端，該客戶端會將目標計算機的ID以及安裝詳細信息發送到命令和控制服務器（C2），然后下載礦機。完整報告可在threatpost.com下載。

國家計算機病毒應急處理中心建議廣大計算機用戶加強安全防范意識，做好日常備份（最好是異地備份），不要訪問包含未知風險的網站或打開不明來歷的電子郵件附件，保持開啟殺毒軟件實時監控功能，并持續關注我中心網站上關于勒索軟件的有關資訊。

以上資訊由北京安天公司提供，國家計算機病毒應急處理中心研發部編譯整理