查看: 714|回复: 0
收起左侧

[技术原创] 警惕“有偿修改代码” 陷阱或为勒索病毒在诱骗

[复制链接]
火绒工程师
发表于 2020-7-30 18:48:33 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2020-7-30 18:50 编辑

【快讯】


近日,火绒接到用户反馈,在精易论坛、QQ群等平台遭遇勒索病毒攻击:黑客在上述平台中利用“有偿修改代码”为由,诱骗用户下载、运行被植入勒索病毒代码的程序,趁机加密用户文件,并索要300元赎金解密。由于该攻击出现在论坛、技术类QQ群等软件编码交流平台,不排除为针对此类相关人群发起的定向投毒事件。

该勒索病毒使用非对称加密算法,在没有私钥的情况下目前还无法解密。火绒用户无须担心,火绒安全软件(个人版、企业版)可拦截该勒索病毒。



根据火绒工程师溯源,发现黑客会先通过精易论坛的接单系统和QQ群等相关平台寻找、物色攻击目标,然后以有偿修改代码或者脱壳为由,引诱目标上当接受交易,最后将植入勒索病毒的易语言模块或编译后的勒索病毒直接发送给受害用户。一旦用户轻易运行病毒程序后,就会导致文件数据被加密。

火绒工程师提醒大家,论坛、QQ群等平台用户环境复杂,切勿轻易接收运行陌生人发送的文件或程序;如果必须使用,可以提前开启安全软件进行扫描、查杀,或者前往火绒论坛求助,确保文件、程序安全后再运行,以免遭遇风险。


附:【分析报告】

:详细分析
病毒作者通过易语言论坛和QQ群与攻击目标联系,之后会使用如下方式诱导攻击目标执行病毒代码:

1.      通过精易论坛接单系统联系攻击目标,以有偿修改代码作为诱饵,将植入勒索病毒代码的易语言模块和源文件发送给接单者。当接单者编译运行后,即会被勒索病毒加密文件。相关帖子,如下图所示:


精易论坛

2.     通过QQ群联系攻击目标,以帮助其脱壳为由,将编译后的勒索病毒直接发送给群成员。当群成员进行脱壳操作运行病毒后,即会被加密文件。相关受害者发布的论坛帖子,如下图所示:


吾爱破解论坛

病毒存在于被篡改之后编译的精易模块中,引用此模块编译出的可执行程序均带有如下病毒代码:


修改后带毒的精易模块

该勒索病毒会加密C盘桌面和其他盘符上,除自身文件、.lnk文件和没有后缀名文件以外的文件,并在目录下释放勒索说明文档。相关现象,如下图所示:


加密文件并释放勒索信

勒索病毒使用非对称加对称加密算法(RSA+DES),暂时无法解密。相关代码,如下图所示:


RSA加密DES密钥生成用户id


DES加密文件内容


二、附录

病毒hash





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 02:38 , Processed in 0.119616 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表