信息无障碍通道
您的位置:首页>>电脑软件

“爱马仕”勒索病毒来袭,敲诈者中的奢侈品

发布时间:2018-04-18  来源:互联网    背景: 无障碍通道

  近期,360安全团队的安全专家发现一款名为“爱马仕”的勒索病毒又一次开始在国内传播。这次的勒索病毒主要的攻击目标是Windows服务器,且此勒索病毒超过九成是通过远程桌面传播的。最让人头痛的一点是,该勒索病毒除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。

图1:敲诈提示信息

  文件被“爱马仕”勒索病毒加密后,被加密的文件名后缀会变为.HRM,并且会收到来自敲诈者的提示信息,向用户索要0.8个比特币作为赎金,按发稿时汇率换算,相当于人民币32000元。此次勒索病毒独特的后缀和昂贵的赎金也是其取名为“爱马仕”的原因。

图2:被加密后的文件

    “挑剔的”勒索病毒

  此次的勒索病毒会先检测中招者磁盘的剩余量,如果获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会停止工作。若磁盘空间充足,则会通过动态获取的方法加载后续操作所需要的函数,以此来躲避杀毒软件的静态查杀。

  其次,此次勒索病毒会检测当前操作系统的语言,若发现系统语言是俄语、乌克兰语或白罗斯语则不会继续加密。曾经名噪一时的Locky家族勒索病毒的代码中,也有类似的判断逻辑,我们有理由相信这是一种病毒作者对泛俄语地区用户的保护,也可能是对这些地区的栽赃抹黑。

    文件加密过程:

  该勒索病毒会在本地生成两个文件:

  1. PUBLIC为病毒在本地生成的RSA密钥对中的公钥部分

图3:RSA公钥写入PUBLIC文件

  2. UNIQUE_ID_DO_NOT_REMOVE则分为两部分,其第一部分是用256位的AES密钥去加密2048位的RSA的私钥,而第二部分是用病毒中硬编码的RSA公钥去加密AES密钥。

图4:生成UNIQUE_ID_DO_NOT_REMOVE文件

  完成后,病毒会将刚刚生成的PUBLIC文件中的RSA公钥读取出来,在稍后进行的文件加密操作中,用于对加密密钥的再加密工作。所有加密工作完成后,病毒还会进行一些其他的善后工作。首先是删除卷影副卷,以及删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串类型的文件——因为这些文件都可能是备份文件。之后,并对会再次检测桌面目录中是否有生成敲诈信息,如果没有就生成一份敲诈信息。确认敲诈信息存在后,病毒会将这份桌面上的 DECRYPT_INFORMATION.html敲诈信息文件直接运行起来。最后删除病毒自己。

  勒索病毒读取并解密自身资源,释放勒索信息,然后从自身资源中获取勒索邮箱地址。邮箱地址有两个:一个是dechhelp#airmail.cc,另一个是dechsupp#cock.lio。其中后者为备用邮箱。勒索者会通过邮箱向受害者索要赎金。

图5:与黑客邮件回话内容

  在线服务器一直以来都是黑客们最常攻击的目标,而勒索病毒为这种攻击提供了一个新的变现渠道。一般来说,服务器上的数据比普通PC端的更具价值,中了勒索病毒以后也更愿意交付赎金,对于疏于防护服务器的中小企业来说是个不小的威胁。因此360安全专家提醒广大用户在开启远程桌面时要尽可能避免使用默认的用户名和使用复杂的口令,严格控制账户权限,定期更换口令,并且尽早安装360安全卫士进行防护。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
勒索病毒趁聊天机器人“关停”再掀风浪,360安全大脑率先截杀
聊天机器人,一种自动回复好友、群消息、私聊的聊天小工具。最近,这种机器人却因“关停&rdquo...
日期:08-12
鱼塘软件|电商“劫”,其实真的可以有最优解!
现如今,电商已经是国民经济的重要组成部分,成为人们生活中不可或缺的一部分。
日期:08-10
金山办公赋能广西信创 打造基础软件产业标杆

金山办公赋能广西信创 打造基础软件产业标杆

日期:08-07
Mozilla Firefox引入ETP 2.0功能 扩大跟踪保护
Mozilla 安全博客介绍了 即将在未来几周推送给 Firefox 用户的增强隐私保护功能 Enhanced Tracking...
日期:08-06
苹果 Safari 浏览器终于支持 YouTube 4K 清晰度播放
今日凌晨,苹果向用户推送了 macOS Big Sur 第四个 beta 版本,此前并不支持 YouTube 4K 视频播放的...
日期:08-05
Edge地址栏输入任意内容导致浏览器崩溃 现已修复
最新版 Edge 浏览器存在软件 BUG,只要用户在地址栏输入任意内容都会导致浏览器崩溃。不过好消息是...
日期:07-31
谷歌 Chrome 浏览器将限制在非 HTTPS 网站使用游戏手柄
7月29日消息 本月初,报道称,微软一直在努力为Windows 10和Windows 10X上的Chromium浏览器带来完整...
日期:07-29
酷我畅听《雪中悍刀行》带给你不一样的广播剧体验!
说起侠,大约每个中国人都有话要说。侠之大者,为国为民,是惩恶扬善的仗义之士,是浪荡不羁的江湖...
日期:07-28
云智慧三度蝉联Gartner AIOps Sample Vendor
近日,Gartner发布《Hype Cycle for ICT in China, 2020》报告,云智慧凭借智能运维产品和技术的领...
日期:07-28
腾讯极光HF-S1机顶盒怎么样?应该安装哪些软件?当贝市场推荐
最近腾讯极光新盒子上线,对于一款网络机顶盒来说,想要显示更多的内容,或者发挥更多好玩有趣的功能,...
日期:07-28
微软 Win10 免费工具集 PowerToys v0.20 曝光:新增颜色选择器,7 月底发布
7月26日消息 微软名为PowerToys的免费系统实用工具套件从Windows XP时代复活,并于2019年5月引入Win...
日期:07-26
2020年十大音乐类软件排行榜,当贝酷狗音乐排名第一
一款好的播放器,可以带来非常棒的音乐体验,那么当下最好用的音乐播放器是哪个呢?为此小编通过下载量...
日期:07-22
Edge 浏览器即将迎来浏览历史同步功能
7 月 22 日消息 昨天微软透露,Edge 浏览器一些重要功能将在不久的将来到来。
日期:07-22
新Edge浏览器简化网址显示:默认隐藏http://www
微软新Edge浏览器推出后得到好评,因为Canary/Dev等预览通道的出现,其软件更新速度也很快。
日期:07-15
谷歌 Chrome 浏览器在 Mac 上「能用」了,将解决耗电、卡顿问题
谷歌 Chrome 浏览器长期占据市场份额的第一名,但它的使用体验却让用户叫苦不迭,被称为 “内...
日期:07-13
Chrome 与 Firefox 将支持 AVIF 图像格式
7月10日消息 据至顶网报道,新的 AVIF 格式图片即将出现在 Web 浏览器中。
日期:07-10
WPS Office 2019 Linux 专业版推出 “公文模式”,面向党政机关用户
7月8日消息 7月7日,金山办公在位于珠海的产品研发中心举行了以“民族办公软件的创新之路&rdqu...
日期:07-08
技巧:如何卸载 Win10 基于 Chromium 的新版 Edge 浏览器
7 月 7 日消息 虽然微软采用 Chromium 重新打造 Edge 浏览器受到很多用户的欢迎,目前新的微软 Edge...
日期:07-07
微软 Win10 大规模推送 Chromium 版 Edge 浏览器
7月6日消息 外媒 Windows Latest 报道,在接下来的几个月中,经典版 Microsoft Edge 浏览器时代对于...
日期:07-06
微软 Win10 全新开始菜单现身
6 月 24 日消息 Windows 10 于 2015 年发布,发布近五年后,微软已经开始为该操作系统打造新的外观...
日期:06-24
  专栏介绍
即时新闻 的专栏
即时新闻发表的文章
积分:
自我介绍 :