求老板们关注

看到#OpJerusalem，我们会想起什么。

一般有政治目的攻击的行动，基本都会以这样的格式出现

"#Op" + 国家或地区名

就像前一阵子的bh454.i//*.ojioud/;/7io2inifc 9qy898

好，回归正题。

本次行动为攻击者针对数百个备受欢迎的以色列网站发起的一系列攻击活动

活动名为耶路撒冷，其目的为用JCry勒索软件感染Windows用户

为了达成这个目的

攻击者修改了来自nagich.com的流行网络辅助功能插件的DNS记录。

当访问者访问使用此插件的网站时，将加载恶意脚本而不是合法插件。

(供应链攻击无误了，nagish[.]co[.]il)

然而一切都该顺理成章的进行之时。

结果

结果

你tm代码写错了？

只因为攻击者的脚本将检查浏览器的用户代理以确定访问者是否正在运行Windows。

如果变量等于特定字符串“Windows”，则该站点将显示用于分发JCry Ransomware的虚假Adobe更新消息。否则将显示黑页。

可见下图放大和调试的判断，可以明确，判断是windows字符串，才执行下一步，然而永远都不可能执行下一步了。

也就是说，事实证明，他们永远只能显示下面这个该死的东西了。

而当把代码进行实时修改后，可以看见正确的钓鱼页面，嗯，很标准，让我想起曾经发过APT32。

下下来的为flash安装包

这样，我们的主角JCry才会登场，并且在运行后释放在自启动文件夹

jcry加密后缀

勒索软件还会创建一个名为JCRY_Note.html的赎金票据，其中包含受害者的唯一密钥，发送500美元赎金的比特币地址，以及地址为http://kpx5wgcda7ezqjty.onion的TOR网站，用于告诉攻击者已付款。

此TOR网站只包含一个字段，您可以输入您从中发送付款的钱包的地址以及您预先填写的唯一ID。

好吧，你们开心就好。

IOC：

http://kpx5wgcda7ezqjty.onion

样本：

d7e118a3753a132fbedd262fdf4809a76ce121f758eb6c829d9c5de1ffab5a3b

比特币钱包地址

1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt

赎金支付说明

All Your Important Files have been Encrypted
1- Send 500$ worth of Bitcoin to this Address : 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt
2- Download Tor Browser and Open the following Link : Recovery Link
3- Enter the Address used in Payement
4- We'll check your Payement and upload your Decryption Key
5- Open the same link again (after a while) and enter your Unique ID to get your Decryption Key
Your Unique Key :
[unique_id]

相关文件名和释放路径
%UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enc.exe
%UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dec.exe
%UserProfile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PersonalKey.txt

不求赞赏，只求大佬们能点一下下好看，下期或者下下期我将揭露我与小伙伴:Alyona Chavuskaya，一起反怼最近很火的政治脚本黑客的过程