您的位置:首页 > 电脑软件

“爱马仕”勒索病毒来袭,敲诈者中的奢侈品

发布时间:2018-04-18 13:06:01  来源:互联网     背景:

  近期,360安全团队的安全专家发现一款名为“爱马仕”的勒索病毒又一次开始在国内传播。这次的勒索病毒主要的攻击目标是Windows服务器,且此勒索病毒超过九成是通过远程桌面传播的。最让人头痛的一点是,该勒索病毒除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。

图1:敲诈提示信息

  文件被“爱马仕”勒索病毒加密后,被加密的文件名后缀会变为.HRM,并且会收到来自敲诈者的提示信息,向用户索要0.8个比特币作为赎金,按发稿时汇率换算,相当于人民币32000元。此次勒索病毒独特的后缀和昂贵的赎金也是其取名为“爱马仕”的原因。

图2:被加密后的文件

    “挑剔的”勒索病毒

  此次的勒索病毒会先检测中招者磁盘的剩余量,如果获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会停止工作。若磁盘空间充足,则会通过动态获取的方法加载后续操作所需要的函数,以此来躲避杀毒软件的静态查杀。

  其次,此次勒索病毒会检测当前操作系统的语言,若发现系统语言是俄语、乌克兰语或白罗斯语则不会继续加密。曾经名噪一时的Locky家族勒索病毒的代码中,也有类似的判断逻辑,我们有理由相信这是一种病毒作者对泛俄语地区用户的保护,也可能是对这些地区的栽赃抹黑。

    文件加密过程:

  该勒索病毒会在本地生成两个文件:

  1. PUBLIC为病毒在本地生成的RSA密钥对中的公钥部分

图3:RSA公钥写入PUBLIC文件

  2. UNIQUE_ID_DO_NOT_REMOVE则分为两部分,其第一部分是用256位的AES密钥去加密2048位的RSA的私钥,而第二部分是用病毒中硬编码的RSA公钥去加密AES密钥。

图4:生成UNIQUE_ID_DO_NOT_REMOVE文件

  完成后,病毒会将刚刚生成的PUBLIC文件中的RSA公钥读取出来,在稍后进行的文件加密操作中,用于对加密密钥的再加密工作。所有加密工作完成后,病毒还会进行一些其他的善后工作。首先是删除卷影副卷,以及删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串类型的文件——因为这些文件都可能是备份文件。之后,并对会再次检测桌面目录中是否有生成敲诈信息,如果没有就生成一份敲诈信息。确认敲诈信息存在后,病毒会将这份桌面上的 DECRYPT_INFORMATION.html敲诈信息文件直接运行起来。最后删除病毒自己。

  勒索病毒读取并解密自身资源,释放勒索信息,然后从自身资源中获取勒索邮箱地址。邮箱地址有两个:一个是dechhelp#airmail.cc,另一个是dechsupp#cock.lio。其中后者为备用邮箱。勒索者会通过邮箱向受害者索要赎金。

图5:与黑客邮件回话内容

  在线服务器一直以来都是黑客们最常攻击的目标,而勒索病毒为这种攻击提供了一个新的变现渠道。一般来说,服务器上的数据比普通PC端的更具价值,中了勒索病毒以后也更愿意交付赎金,对于疏于防护服务器的中小企业来说是个不小的威胁。因此360安全专家提醒广大用户在开启远程桌面时要尽可能避免使用默认的用户名和使用复杂的口令,严格控制账户权限,定期更换口令,并且尽早安装360安全卫士进行防护。






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
挖矿木马非法获利1500万元 腾讯电脑管家已全面拦截
2017年底时,腾讯电脑管家曾发现一款名为“tlMiner”的挖矿木马的传播量达到峰值,12月20......
日期:07-10
Windows 10 on ARM将于五月支持64位应用
2016年12月的时候,微软和高通首次宣布了将为基于骁龙处理器的 Windows 10 PC 引入 x86应用运行支持......
日期:04-06
勒索软件一键生成定制化 用户下载APP需提高警惕
提起木马病毒,不少人可能认为那些都是技术高深的黑客高手的作品,但是近期,有大量木马程序都是通......
日期:04-09
微软Onedrive新功能将上线:视频音频 自动转文本
8月30日消息 在8月28日的一篇博文中,微软介绍了将为Onedrive for Business推出的一项基于人工智能......
日期:08-30
腾讯手机管家上线“王之管家”专属服务,助力用户畅享移动生活
每一个成功的“王上”背后,都有一个无所不能的管家。近日,腾讯手机管家携手腾讯王卡为......
日期:06-14
钢铁销售合同带“毒” 腾讯电脑管家轻松拦杀
“美好的一天,我是……,请下载并确认附有新订单折扣代码的价格表,请注意此优惠......
日期:08-09
腾讯手机管家安卓7.6.2版本上线,首推“安全实验室”直观展现病毒形势
随着智能手机使用频率的提升,用户更加关注手机安全和使用技巧。为了帮助用户获得更安全、便捷的手......
日期:04-28
开学季“升学文件”竟然恶意扣费,腾讯手机管家查杀三款恶意APP
最近正值艺考高峰期,许多考生在微博上转发“锦鲤”。而一些报考中国美术学院的考试则刷......
日期:03-01
价格暴涨 全线缺货 最近Intel处理器缘何如此疯狂
最近几天,笔者在微博收到了越来越多的网友私信,表示Intel第八代酷睿处理器出现了大面积的价格暴涨......
日期:09-12
WPS Office套件上线Win10应用商店:免费+内购
知名办公软件WPS Office正式出现在了微软应用商店中,自此,Windows 10用户有了一个更快捷的下载安......
日期:08-27
微信给微视做了一次“限时推广” 此前也为星巴克等品牌做过
14日,用户在打开微信朋友圈相机图示按钮后,会发现多了一个“用微视拍摄”的推广选项,......
日期:09-17
Windows 10新版17755发布:免数据线发送、接收手机短信
9月8日消息,微软开始推送Windows 10 RS5快速预览版17755系统更新,隶属于RedStone 5,距离上次1775......
日期:09-08
如何快速精准找到微信文件?腾讯手机管家“微信清理”新增文件整理功能
每当“存储空间不足”的提示出现,对手机用户来说都像一场“灾难”。大家在清......
日期:07-27
腾讯手机管家联动哈尔滨警方推“警民亲情守护”功能,开启防御电信网络诈骗的新路径
从诈骗电话到诈骗短信,不法分子精心设计骗局,一些用户因此不幸遭遇财产损失。面对电信网络诈骗,......
日期:05-23
逆风翻盘,超薄本笔记本成就英特尔N4100处理器
英特尔在发布第八代处理器之前都被人们调侃是“牙膏厂”,因为每次产品的更迭总是挤那么......
日期:08-06
神预测短信让球迷成竞猜“幸运儿”?腾讯手机管家精准拦截诈骗短信
6月20日,世界杯比赛第七日,俄罗斯乌拉圭提前晋级,而备受关注的葡萄牙队依靠C罗开场仅4分钟的头球......
日期:06-22
三星Note9获系统更新 千万不要错过!
三星Galaxy Note9,2018年当之无愧的安卓机皇,备受全球各地用户青睐。如今,三星Galaxy Note9获得......
日期:09-29
中国软件产业的“魂”:自主核心技术
随着社会的飞速发展,人们面临一次又一次的机遇和挑战,科技领域也在不断地前进和突破。近年来,我国......
日期:06-24
学生党快捂好钱包 骗子已盯上你的生活费
时光匆匆,在家睡到自然醒的舒服日子已一去不复返,学生党纷纷告别父母,踏上了自己的返校之旅。与......
日期:03-05
勒索病毒突袭多省多家大型企业 腾讯电脑管家提醒用户勿恐慌
8月26日,腾讯智慧安全御见威胁情报中心监测,发现国内多省多家大型企业遭遇GlobeImposter勒索病毒......
日期:08-27