首页 > 安全资讯 > 正文

一觉醒来,我陷入了被勒索的恐惧

前言

Windows激活工具一直以来都是攻击者传播木马病毒的热门载体,近日360互联网安全中心就发现了一款新型勒索病毒,通过伪装成Windows激活工具进行传播。分析中我们还发现,这个勒索病毒还带有隐藏的配置功能,可以查看和修改加密使用的密钥和提示信息,还可以通过这个界面获取密钥解密。

传播

图1.捆绑有勒索病毒的激活工具

木马通过捆绑在windows激活工具中,通过国外的一些网盘进行传播。该勒索病毒在8月7号首次出现,之后一直有传播,虽然病毒本身已经被安全软件拦截查杀,但仍然不断有用户在使用。

图2.传播情况

样本分析

我们选取了其中一个病毒样本进行分析

图3.样本图标

病毒启动之后,会带参数再次启动,分别实现不同功能,样本使用的启动参数如下:

表格1.勒索病毒参数

不同参数下实现不同功能:

图4.进程启动

隐藏的调试功能

分析过程中,我们发现该勒索病毒包含一个隐藏的窗体,在按下F8之后会显示这一窗体,通过这个配置页可以配置下列信息(显然这是病毒自带的一个调试功能):

加密文件的Key

勒索信息提示文件名

勒索提示信息

用户个人id

添加的文件后缀

图5.设置窗体1

勒索病毒传播者还可以自己设置需要跳过的文件目录。下面对话框中内容为默认设置。

图6 设置窗体2

下面是文件被加密之前的情况:

图7.修改设置后被加密的文件

同时,如果在通过cosonar.mcdir.ru/get.php获取参数失败时,该勒索病毒会调用默认的加密密钥以及默认的用户id传递给进程以及设置窗体。

图8.获取key和id

图9.默认key和用户id

文件加密

病毒作者在制作勒索病毒时,通常习惯使用微软提供的Crypto加密库,实现加密功能。但该勒索病毒使用了CryptoPP的开源库。在文件加密上,病毒也只处理了文件的前0x500000个字节(约5M)。过大的文件不会再加密后面的部分,之后调用AES算法进行加密。这类加单粗暴的做法,给文件解密留下了机会。

图10.AES算法加密文件

防御:

通过伪装成正常软件进行传播,是病毒常用的一类传播手段,尤其是各类破解工具和外挂软件。遇到这类勒索病毒可以通过以下几个方式进行防御

未知网站下载的文件,一定要在开启杀毒软件的情况下运行。

可以使用360文档卫士对重要文件进行保护

定期备份重要文件


360安全卫士

热点排行

用户
反馈
返回
顶部