您的位置:IT爆料网 > 电脑软件

“爱马仕”勒索病毒来袭,敲诈者中的奢侈品

发布时间:2018-04-18 13:06:01  来源:互联网     背景:

  近期,360安全团队的安全专家发现一款名为“爱马仕”的勒索病毒又一次开始在国内传播。这次的勒索病毒主要的攻击目标是Windows服务器,且此勒索病毒超过九成是通过远程桌面传播的。最让人头痛的一点是,该勒索病毒除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。

图1:敲诈提示信息

  文件被“爱马仕”勒索病毒加密后,被加密的文件名后缀会变为.HRM,并且会收到来自敲诈者的提示信息,向用户索要0.8个比特币作为赎金,按发稿时汇率换算,相当于人民币32000元。此次勒索病毒独特的后缀和昂贵的赎金也是其取名为“爱马仕”的原因。

图2:被加密后的文件

    “挑剔的”勒索病毒

  此次的勒索病毒会先检测中招者磁盘的剩余量,如果获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会停止工作。若磁盘空间充足,则会通过动态获取的方法加载后续操作所需要的函数,以此来躲避杀毒软件的静态查杀。

  其次,此次勒索病毒会检测当前操作系统的语言,若发现系统语言是俄语、乌克兰语或白罗斯语则不会继续加密。曾经名噪一时的Locky家族勒索病毒的代码中,也有类似的判断逻辑,我们有理由相信这是一种病毒作者对泛俄语地区用户的保护,也可能是对这些地区的栽赃抹黑。

    文件加密过程:

  该勒索病毒会在本地生成两个文件:

  1. PUBLIC为病毒在本地生成的RSA密钥对中的公钥部分

图3:RSA公钥写入PUBLIC文件

  2. UNIQUE_ID_DO_NOT_REMOVE则分为两部分,其第一部分是用256位的AES密钥去加密2048位的RSA的私钥,而第二部分是用病毒中硬编码的RSA公钥去加密AES密钥。

图4:生成UNIQUE_ID_DO_NOT_REMOVE文件

  完成后,病毒会将刚刚生成的PUBLIC文件中的RSA公钥读取出来,在稍后进行的文件加密操作中,用于对加密密钥的再加密工作。所有加密工作完成后,病毒还会进行一些其他的善后工作。首先是删除卷影副卷,以及删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串类型的文件——因为这些文件都可能是备份文件。之后,并对会再次检测桌面目录中是否有生成敲诈信息,如果没有就生成一份敲诈信息。确认敲诈信息存在后,病毒会将这份桌面上的 DECRYPT_INFORMATION.html敲诈信息文件直接运行起来。最后删除病毒自己。

  勒索病毒读取并解密自身资源,释放勒索信息,然后从自身资源中获取勒索邮箱地址。邮箱地址有两个:一个是dechhelp#airmail.cc,另一个是dechsupp#cock.lio。其中后者为备用邮箱。勒索者会通过邮箱向受害者索要赎金。

图5:与黑客邮件回话内容

  在线服务器一直以来都是黑客们最常攻击的目标,而勒索病毒为这种攻击提供了一个新的变现渠道。一般来说,服务器上的数据比普通PC端的更具价值,中了勒索病毒以后也更愿意交付赎金,对于疏于防护服务器的中小企业来说是个不小的威胁。因此360安全专家提醒广大用户在开启远程桌面时要尽可能避免使用默认的用户名和使用复杂的口令,严格控制账户权限,定期更换口令,并且尽早安装360安全卫士进行防护。






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


本文标题:“爱马仕”勒索病毒来袭,敲诈者中的奢侈品 - 电脑软件
本文地址:www.itbaoliao.com/dlrj/177.html

返回网站首页

本文评论
网贷成网络电信诈骗新工具 360手机卫士提示隐私信息需保护
从现在开始,点头、摇头都需要谨慎了!你的脑袋在摄像头前上下、左右晃动的每一个瞬间,都有可能成为......
日期:03-01
一秒拆穿骗子花招 360防骗高手小程序上线
随着近年来智能手机的快速普及和互联网技术的发展,信息安全问题已经关系到几乎每个人的日常生活。......
日期:04-18
Windows 10新版17755发布:免数据线发送、接收手机短信
9月8日消息,微软开始推送Windows 10 RS5快速预览版17755系统更新,隶属于RedStone 5,距离上次1775......
日期:09-08
新增深色模式:苹果全新MacOS Mojave系统上线
(原标题:苹果全新一代电脑操作系统MacOS Mojave正式开始推送)...
日期:09-25
沪江CCtalk联合哈佛商学院开展“浸入式全球化体验”项目
近日,沪江旗下开放教育平台CCtalk成为哈佛商学院(Harvard Business School,以下简称“HBS&rd......
日期:05-30
家居设计次时代来临 酷家乐“以图搜模型”功能全球首发
自谷歌、百度发布了以图搜图功能以来,一时间,效仿者纷至沓来,人工智能+搜索引擎初露峥嵘。历经图......
日期:04-03
2018 Windows 10更新十月版慢速预览17763推送
9月21日消息 9月19日,微软推送了Windows 10 RS5快速预览版17763系统更新,面向快速通道发布。而今......
日期:09-21
谷歌为Chromebook推出双系统启动软件:可装Windows
对于许多用户而言,Mac都是一款非常不错的电脑,但如果说Mac还有什么不舒服的地方,那就是没有预装W......
日期:08-16
微软Office 365 UX重大更新!全新流畅设计
微软去年开始在Office应用程序中添加Fluent Design(流畅设计)元素。起初,微软将Fluent Design的Acr......
日期:09-28
金蝶云财务共享与未来财务的距离:一个云服务
未来就发生在我们眼前,我们需要做的就是去观察趋势和趋势本身的变化,据此去不断创新,去创造未来......
日期:04-30
国家互联网应急中心曝光20款恶意扣费APP,腾讯手机管家实现精准查杀
近日,国家互联网应急中心(简称“CNCERT”)曝光了20个Android恶意扣费类程序,其中以游戏......
日期:07-04
AMD录屏软件被爆高危漏洞 腾讯电脑管家率先发布应对措施
继Intel因被爆出Meltdown、Spectre漏洞而焦头烂额之后,又一全球知名企业成了安全漏洞的受害者。近......
日期:04-20
体验1天腾讯文档后,我把其他在线文档都卸载了
最近,办公室有些不正常。 之前为了一篇稿件和大家吵得不可开交的小A现在出奇地安静;...
日期:04-20
360手机卫士:80万勒索软件伪装传播 “免流”背后是陷阱
随着2018年《政府工作报告》取消流量“漫游费”、移动网络流量资费年内至少降低30%政策的......
日期:03-22
移动办公成职场常态 搜狗翻译App实现外文文档随传即译
当下,大家对移动翻译类应用的需求越发迫切及多元。除了即时交流、沟通等基础翻译需求外,一些职场......
日期:09-20
为iOS12助力 workflow 正式上线!中文名捷径 仅兼容iOS12
大家好!随着iOS12正式版的发布!workflow应用,也就是shortcuts已经可以在苹果的AppStore正式上线了......
日期:09-18
好友发来“升级邮件”,腾讯电脑管家揭破钓鱼邮件新骗局
邮箱作为商务沟通、信息存储的载体,在办公中扮演着越来越重要的角色。然而近年来,网络中的钓鱼邮......
日期:08-03
刚刚,优酷新首页大变身,到底和以前有什么不同?
昨天,优酷首页改版了,只要更新了优酷APP版本的小伙伴就会发现,首页发生了很大的变化,用信息流推......
日期:09-21
腾讯WiFi管家携手魔道祖师动画,打造全民找WiFi福利活动
“问灵十三载,等一不归人。”新古风国漫《魔道祖师》在腾讯视频独家开播后,迎来了开门......
日期:09-21
斗鱼游戏+战略专注电竞领域 吸引众多世界冠军加盟
斗鱼自成立之初,就深耕于游戏直播领域,在“游戏+”战略指导下,专注于打造以“全......
日期:09-26