您的位置:首页 > 电脑软件

“爱马仕”勒索病毒来袭,敲诈者中的奢侈品

发布时间:2018-04-18 13:06:01  来源:互联网     背景:

  近期,360安全团队的安全专家发现一款名为“爱马仕”的勒索病毒又一次开始在国内传播。这次的勒索病毒主要的攻击目标是Windows服务器,且此勒索病毒超过九成是通过远程桌面传播的。最让人头痛的一点是,该勒索病毒除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。

图1:敲诈提示信息

  文件被“爱马仕”勒索病毒加密后,被加密的文件名后缀会变为.HRM,并且会收到来自敲诈者的提示信息,向用户索要0.8个比特币作为赎金,按发稿时汇率换算,相当于人民币32000元。此次勒索病毒独特的后缀和昂贵的赎金也是其取名为“爱马仕”的原因。

图2:被加密后的文件

    “挑剔的”勒索病毒

  此次的勒索病毒会先检测中招者磁盘的剩余量,如果获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会停止工作。若磁盘空间充足,则会通过动态获取的方法加载后续操作所需要的函数,以此来躲避杀毒软件的静态查杀。

  其次,此次勒索病毒会检测当前操作系统的语言,若发现系统语言是俄语、乌克兰语或白罗斯语则不会继续加密。曾经名噪一时的Locky家族勒索病毒的代码中,也有类似的判断逻辑,我们有理由相信这是一种病毒作者对泛俄语地区用户的保护,也可能是对这些地区的栽赃抹黑。

    文件加密过程:

  该勒索病毒会在本地生成两个文件:

  1. PUBLIC为病毒在本地生成的RSA密钥对中的公钥部分

图3:RSA公钥写入PUBLIC文件

  2. UNIQUE_ID_DO_NOT_REMOVE则分为两部分,其第一部分是用256位的AES密钥去加密2048位的RSA的私钥,而第二部分是用病毒中硬编码的RSA公钥去加密AES密钥。

图4:生成UNIQUE_ID_DO_NOT_REMOVE文件

  完成后,病毒会将刚刚生成的PUBLIC文件中的RSA公钥读取出来,在稍后进行的文件加密操作中,用于对加密密钥的再加密工作。所有加密工作完成后,病毒还会进行一些其他的善后工作。首先是删除卷影副卷,以及删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串类型的文件——因为这些文件都可能是备份文件。之后,并对会再次检测桌面目录中是否有生成敲诈信息,如果没有就生成一份敲诈信息。确认敲诈信息存在后,病毒会将这份桌面上的 DECRYPT_INFORMATION.html敲诈信息文件直接运行起来。最后删除病毒自己。

  勒索病毒读取并解密自身资源,释放勒索信息,然后从自身资源中获取勒索邮箱地址。邮箱地址有两个:一个是dechhelp#airmail.cc,另一个是dechsupp#cock.lio。其中后者为备用邮箱。勒索者会通过邮箱向受害者索要赎金。

图5:与黑客邮件回话内容

  在线服务器一直以来都是黑客们最常攻击的目标,而勒索病毒为这种攻击提供了一个新的变现渠道。一般来说,服务器上的数据比普通PC端的更具价值,中了勒索病毒以后也更愿意交付赎金,对于疏于防护服务器的中小企业来说是个不小的威胁。因此360安全专家提醒广大用户在开启远程桌面时要尽可能避免使用默认的用户名和使用复杂的口令,严格控制账户权限,定期更换口令,并且尽早安装360安全卫士进行防护。






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
微软Office 2019正式版发布:仅支持Win10和最新macOS
9月25日早间消息,在今晨的微软Ignite大会期间,微软宣布面向Windows和Mac推出Office 2019正式版,......
日期:09-25
EMUI 9.0开箱:一直被吐槽的华为UI 这次终于翻盘了
曾经只要一谈到华为手机,客观一点的评价都是"ID设计有亮点、硬件不错、国产芯片之光"等等,但是唯......
日期:09-28
“永恒之蓝”漏洞利用再现 腾讯御见捕获WannaMiner挖矿木马
近年来,伴随比特币等区块链资产价格大幅飙升,巨额利益的刺激,数字货币挖矿的热潮随之兴起。与此......
日期:03-20
腾讯手机管家上线“王之管家”专属服务,助力用户畅享移动生活
每一个成功的“王上”背后,都有一个无所不能的管家。近日,腾讯手机管家携手腾讯王卡为......
日期:06-14
谷歌搜索迈入新篇章 更懂你的“Activity Cards”上线
(原标题:谷歌搜索上线“Activity Cards”:让搜索结果更懂你)...
日期:09-25
《侏罗纪公园2》再现恐龙时代,腾讯手机管家防范木马病毒保障观影安全
科幻冒险电影一直都饱受影迷喜爱,而以恐龙为主角的侏罗纪公园系列电影更是暑期亲子观影最佳选择。......
日期:06-25
PhotoMiner挖矿木马再度活跃 变身年薪千万的黄金矿工
网上挖矿真的能赚钱吗?近日,腾讯电脑管家捕获了一款“闷声发大财”的挖矿木马:自2016年......
日期:04-25
网页遭篡改、满屏欺诈广告!当心“网络劫匪”正在路上
近期,有许多网友反映,自己在电脑和手机上用安全软件扫描没有任何异常,但是打开很多正常的网页却......
日期:07-19
Black Hat Asia 2018特别推荐议题:腾讯安全反病毒实验室揭秘新型loT攻击
3月20日至23日,全球信息安全行业的最高盛会Black Hat Asia 2018(亚洲黑帽大会)在新加坡举行,全世......
日期:03-23
月活跃用户超1600万,腾讯文档持续发力办公协同、安全
8月21日,腾讯公司社交网络事业群高级总监鄢贤卿受邀出席“风口更迭 探索永恒”2018新风......
日期:08-21
好友发来“升级邮件”,腾讯电脑管家揭破钓鱼邮件新骗局
邮箱作为商务沟通、信息存储的载体,在办公中扮演着越来越重要的角色。然而近年来,网络中的钓鱼邮......
日期:08-03
Windows 10 19H1最新预览版Build 18234发布
面向那些启用Skip Ahead选项的Fast通道用户,微软于今天发布了Windows 10 Build 18234预览版更新。......
日期:09-07
Win10份额三年未超过Win7?原因竟是这样的!
不知不觉,Windows10也已经不是什么新兵了,这款微软的拳头产品在市面上已经征战了足足三年。...
日期:09-28
iOS 12告诉我们未来的iPad到底长啥样
9月18日凌晨,苹果推送了iOS 12正式版系统升级,能够运行iOS 11的设备均能够升级至最新的iOS 12系统......
日期:09-28
勒索病毒再度入侵医院 谁来阻止黑色恐怖的蔓延?
春节刚刚过去,走亲访友还正在进行时,但天气却乍暖还寒,是儿童流感高发的时期。结果,就在儿童医......
日期:02-27
沪江CCtalk联合哈佛商学院开展“浸入式全球化体验”项目
近日,沪江旗下开放教育平台CCtalk成为哈佛商学院(Harvard Business School,以下简称“HBS&rd......
日期:05-30
Windows7系统退休?微软:将于2020年停止支持
Windows 7是微软历史上最为成功的操作系统之一,市场占有率依然很坚挺。不过,就算再受欢迎也总有告......
日期:09-05
谷歌推出新浏览器Chrome 69 界面顶部有亮点
(原标题:谷歌Chrome 69浏览器正式版发布:全新材料设计)...
日期:09-05
360揭秘刷量木马 守卫网络安全没有“方外之地”
随着智能手机的普及,用户在非WiFi环境下阅读资讯、浏览视频成为一种常态,而手机流量的频繁消耗也......
日期:04-25
企业服务器成勒索病毒“心头好” 360安全卫士推远程登录保护
近期国内连续出现两起医院遭遇勒索病毒的恶性事件,2月23日,湖北某医院系统被植入勒索病毒,医院系......
日期:02-27