中文版 Global
首页 > 安全资讯 > 正文

虚假“种子文件”搭载WinRAR漏洞,下发新型勒索病毒!

  • 2019-04-02 10:39:11

  所谓食色性也,人之天性。尤其在这个春气发动的季节里,发情的不止动物。敏锐的黑客们也早已嗅到弥漫在空气里的荷尔蒙,于是色情网站这一作战区也跟着浮出水面。

  近日,360安全大脑监测到有黑客通过色情网站传播一种新的勒索病毒“CRYPTED!”。该病毒伪装成“种子文件”,利用最新的WinRAR远程代码执行漏洞CVE-2018-20250下发勒索病毒,“潜伏”色情论坛,引诱用户下载、解压。据统计,在短短两天时间里国内已有数百台计算机被攻击。不过,广大用户无需担心,360安全大脑已第一时间针对该勒索病毒进行了查杀。


                                                   图1 “CRYPTED!”勒索病毒勒索信息

 

                                                           受害小伙哭诉“不敢看了,这种子有毒!


  小黑是某公司职员,单身,下了班就是和几个朋友侃侃大山、打打游戏、再就默默看两部小电影。这两天从哥们那听说有个视频特别火,瞬间勾起了他身为男性的猎奇心里。

“XX CEO的视频!听到这个劲爆消息后,他立马在google搜索该视频,然后就被搜索结果引导到一个youtube视频中”,如下图2所示:

                                           图2  google搜索该视频

  该视频的说明引导他到了一个google云盘中下载种子,如图3所示。“讲真,这样的链接很司空见惯的,我也没多想,直接点击下载了。”小黑补充说道。可殊不知就是这样的一次点击下载,就已经把他带入到黑客精心布置的陷阱中。

                                      图3  google云盘下载种子

  因为该云盘中存储的就是此次的勒索病毒,如图4所示。该病毒不仅恶意加密了小黑计算机文件,还向其勒索0.1比特币赎金。真可谓是偷鸡不成蚀把米,赔了夫人又折兵。

                                                                               图4

 

360安全大脑第一时间还原“案发现场”

  360安全大脑第一时间监测并查杀了该病毒。此外,为了让广大用户看清该病毒的真面目,360安全专家进一步对该病毒的攻击过程及加密细节做了分析,还原了“案发现场”。

攻击过程:

  根据监测,此次实施攻击的压缩包文件名为“vid-2019037.zip”。压缩包通过密码“sex888”加密,解压后包含一个名为“VID-2019037 Torrent.rar”的压缩包以及一个ReadMe文件。从ReadMe文件中透露的信息看,压缩包中存储的是影片的种子文件以及预览文件。


                                                          图5  ReadMe文件中的提示信息

  然而事实并非如此,“VID-2019037 Torrent.rar”实际上是一个利用WinRAR漏洞CVE-2018-2050的恶意压缩包,该漏洞能导致解压压缩包时在任意目录下写入文件。当受害者解压“VID-2019037 Torrent.rar”文件时,将在计算机启动目录下释放一个名为WindowsUpdate.exe的文件,该文件就是“CRYPTED!”勒索病毒。

                       图6 解析压缩包的内容可以清晰看到CVE-2018-2050漏洞利用代码

  此外,ReadMe文件中声称的影片预览文件“Preview_VID-2019037.scr”实际上也是“CRYPTED!”勒索病毒。黑客通过两种不同方式诱导受害者运行勒索病毒,以确保攻击成功率。

                                                                                                                                                                                 图 7 解压“VID-2019037 Torrent.rar”后得到的预览文件“Preview_VID-2019037.scr”也是勒索病毒

 

 

加密细节

  在加密文件类型的选择上,黑客对办公文档、音视频在内的57种文件类型下手。“CRYPTED!”勒索病毒加密的文件类型如下图所示:

                                                       图8 黑客加密的文件类型

  黑客选择的加密算法是速度较快的TEA加密算法,原始密钥以资源的形式存储在勒索病毒中。勒索病毒取出原始密钥后,原始密钥会与被加密文件文件名的首个字符进行异或运算后形成每个文件独有的加密密钥,对文件内容进行加密。

                              图9 从资源中取出原始加密密钥

                       图10 原始密钥与文件名进行异或运算生成每个文件独有的加密密钥

                                                   图11 使用TEA加密算法加密文件

 

“罪恶种子”烟云散,安全建议记心间

 

自WinRAR漏洞被曝光以来,利用该漏洞实施的攻击层出不穷,带有漏洞利用代码的压缩包也逐渐成为黑客首选的钓鱼文件。


  面对愈演愈烈的恶意攻击,360安全大脑建议,广大用户可以通过以下几点防御黑客的攻击:

     1.      前往weishi.360.cn,下载并安装360安全卫士,能有效拦截此类勒索病毒的攻击。

     2.      360高危漏洞免疫工具已第一时间集合WinRAR漏洞修复功能,及时下载并开启高危漏洞免疫工具能保证计算机信息及财产安全。

     3.      不要点击不明压缩包文件,建议您使用更安全的360压缩,该软件不受此次WinRAR漏洞的影响,并含有云安全引擎,压缩包打开时可以自动扫描木马,防止藏于压缩包内的木马作祟侵犯用户隐私。


360安全卫士

热点排行

用户
反馈 返回
顶部