首页

通过tutanota来源tuta.io的机密邮件是否是病毒?

前几天收到了一封来源于tevin@tuta.io的机密邮件,这封邮件说这是一封通过tutanota(tutanota.com)发送的机密邮件,然后下面有一个链接,点击打开机密邮件。
一开始我觉得可能是一种加密邮件的方式,后来我留了个心,切换了一个网络,用未越狱的ios进行打开,结果打不开;有点纳闷,搜了搜,没有搜索到完全匹配的解释,但是好像是一种通过打开网页传播的病毒;这种病毒通过对文件进行加密,然后勒索比特币。

不过我也不太确定这是不是病毒。(备注,不要轻易打开tutanota.com或tuta.io,这两个网址很可能有病毒!!!!!!!!!!!

喜欢这个问题 | 分享 | 新建回答

回答

Only Mystery

Jun 6, 2020
4 赞

首先,可以实锤的是,这是一个恶意链接

这是一类DXXD勒索软件,它专门针对服务器,即使未映射网络共享文件,也能够对文件加密勒索。

所以,既然已经确定了他的性质我决定继续挖挖看。基于OSINT,我一共找到了超270个域名是源于这同种勒索病毒。[域名附在文末]

首先看看这个邮件的发信器,MX:mail.tutanota.de

然后找到了共计3发信服务器的IP:81.3.6.164、81.3.6.163、188.40.109.72 德国 下萨克森州/汉诺威 是hostway.de机房的服务器。

那么这个病毒究竟会干嘛呢?

DXXD勒索软件会添加“.dxxd”扩展名到加密文件,然后将支付赎金显示给受感染的计算机。DXXD赎金会要求这些受害者需要联系rep_stosd@protonmail.com或rep_stosd@tuta.io。以获取解密。

有趣的是他会配置Windows注册表信息,DXXD勒索软件更改HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ LegalNoticeCaption注册表项和HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ LegalNoticeText来显示以下注释。

启动Windows时,Windows Defender可以通过扫描恶意软件或不需要的软件来帮助保护您的PC

也就是说,它的勒索远不是像当年WannaCry那样暴力的弹窗,而是相当“优雅”的冒充一番微软安全中心,以此让你信以为真的

既然是病毒,那么最根本的就是搞破坏,他将会带来什么?

1、加密计算机内部文件

2、通过0Day来将病毒继续传播


那么,上文废话了那么久,终究只是让人看着笑笑,这玩意中招了,有没有解决办法呢?

幸运的是,我找到了SENSORS发布的病毒解密及专杀文件。

https://sensorstechforum.com/remove-aes-ni-ransomware-restore-aes_ni_0day-files


威胁域名:[请谨慎接受来自这些域的任何邮件!!!]

mail.jouanne.alsace、mail.8191.at
mail.c-fischer.at、mail.ashleytowns.id.au
login.cryptomail.be、secure.hansup.be
mailbox.isberg.be、desk.ayus.bio
securecontact.europa.blog、mail.emd.bz
contact.avantlaw.ca、mail.bztechnologies.ca
secure.mmn.on.ca、secure.onepost.ca
mail.seraph.ca、www.thenickies.ca
mail.digitalmensch.ch、mail.kurdy.ch
sicherheit.service-sans-soucis.ch、mail.littlecity.city
mail.minhng99.cloud、bolx.co
www.bolx.co、mail.syslab.codes
buck.3hourdeer.com、mail.4rt6.com
x.addmedica.com、mail.alabelo.com
mail.secure.ampullate.com、login.angoramail.com
webmail.beastemail.com、mail.beta-innov.com
mail.bockamp.com、contact.brandonacorda.com
contact.canadianonlinepharma.com、login.secmail.coverthart.com
email.drjimbrown.com、mail.dtm-creative.com
mail.ducksnutstackle.com、contact.etiennemahler.com
mail.farmodomo.com、connect.secure.franzwalter.com
mail.gawestaccountant.com、mail.geekingthomas.com
www.georgioszachariadis.com、securemail.grupotravelstore.com
mail.hanabi-evenement.com、whisper.i-quasar.com
mail.ietecsl.com、mail.ihempnyc.com
webmail.ironjawsoftware.com、mail.itfallon.com
formspaxtly.janlangcapital.com、mx.joetl.com
login.jonengle.com、tuta.julbor.com
secure.kelony.com、email.krugar.com
forms.leggendariodj.com、webmail.letspen.com
mail.lindnercloud.com、secureconnect.linuxjournal.com
mail2.mentaltechnologies.com、www.michalou.com
login.nerdconomy.com、ssl.nider.com
sgtour.overlookatfarragut.com、www.parchmail.com
email.pharmatreex.com、webmail.pilisko.com
mail.piuswilson.com、mail.produktech-engineering.com
mail.publishingimpressions.com、boatman.rainfromafar.com
mail.razvery.com、labs.robot-review.com
mail.rocketnetusa.com、mail.sebsharp.com
mail.security401.com、www.smitsmail.com
mail.solsteinen.com、secure.steffenprey.com
mail.sznlabs.com、mail.tagmata.com
mail.tepolsofts.com、wm.theseedmc.com
secure.timverheyden.com、mail.tuckerbradford.com
tutamail.com、tutanota.com
app.tutanota.com、login.tutanota.com
mail.tutanota.com、www.tutanota.com
mail.wardentechservices.com、mail.wemakemachines.com
mail.willjos.com、mail.xavierzinn.com
secure.yacbuilder.com、contact.yadoki-organics.com

参考资料

securityaffairs:“DXXD Ransomware, displays legal notice and encrypts files on unmapped network shares”2016-Oct.12