本帖最后由 金山毒霸V11 于 2017-7-3 14:52 编辑
自上个月勒索病毒爆发之后,众多病毒作者从中看到商机:以敲诈勒索为手段牟利的病毒隔三差五就有新的出来。金山毒霸安全实验室周末就截获一个新的勒索病毒:绿帽子病毒,该病毒假冒游戏外{过}{滤}挂传播,一旦运行,会立刻弹出敲诈勒索的画面。 (图1 裸在病毒主界面留下联系方式挺脑残的,就不怕JCSS敲门吗?)
电脑随后会自动重启,且重启后只显示黑屏和一个联系QQ号。 (图2 绿帽子病毒感染后的开机重启画面,绿字为受害者需要输入的解锁密码,正确就能继续启动) 开机显示黑屏,原因是病毒破坏了硬盘主引导记录(MBR),用磁盘编辑器查看MBR发现已被修改:
(图3 毒改写了硬盘主引导记录(MBR) 分析发现该病毒盗用了暴风公司的数字签名:
(图4 绿帽子病毒盗用暴风公司的数字签名) 查看证书属性,发现已被注销,可能暴风公司已发现签名被盗用。 金山毒霸安全实验室加到绿帽子官方群,想去看个究竟,发现群里共享的恶意软件还不少。 (图5 绿帽子群共享的恶意软件) 还有其他网络犯罪教程在群里传播 (图6 绿帽子群通过群公告传播网络犯罪教程) 试下加作者QQ解锁硬盘,作者嚣张的报出自己的支付宝号:13383125456 (图7 加绿帽子作者QQ,果然被勒索)
(图8 绿帽子作者支付宝号)
绿帽子病毒作者水平并不高,病毒代码中有自己的邮箱帐号密码,霸哥顺手进了绿帽子邮箱,把解密邮件顺手下载,发现受害者有33个了。霸哥拿走了解锁密码文件,需要的同学可以在这里下载。 https://pan.baidu.com/s/1gfraAjT 提取码ruxg
这个病毒,金山毒霸可以完美防御。只要网友不要按外{过}{滤}挂网站的提示关闭杀毒软件就好。
(图9 金山毒霸可以拦截绿帽子病毒传输)
(图10 病毒破坏MBR的动作被拦截)
另: 绿帽子病毒除了感染Windows电脑,也有感染安卓手机的版本,同样是锁手机后加QQ敲诈钱财。 在国家网络安全法已经实施的情况下,还有病毒作者锁别人电脑拿支付宝收钱,这货是真没把国家法律放在眼里啊,期待JCSS请这个病毒作者去喝茶。
| 
发表于 2017-7-2 21:19:50
楼主
关键是这种作恶成本太小,就算嚣张的报出手机号之类信息,就算知道了其本人身份,也是无可奈何。以前的敲竹杠,加了不少的作者,各个嚣张的上天。又能怎么样
举报qq貌似腾讯都不管,好几天过去还好好在哪里····
关系应该没有,主要是不重视吧。在天朝,这种小事谁会在乎。除非有一天,真的闹出了大新闻,或许能够大刀一挥