您的位置:首页 > 电脑软件

“爱马仕”勒索病毒来袭,敲诈者中的奢侈品

发布时间:2018-04-18 13:06:01  来源:互联网     背景:

  近期,360安全团队的安全专家发现一款名为“爱马仕”的勒索病毒又一次开始在国内传播。这次的勒索病毒主要的攻击目标是Windows服务器,且此勒索病毒超过九成是通过远程桌面传播的。最让人头痛的一点是,该勒索病毒除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。

图1:敲诈提示信息

  文件被“爱马仕”勒索病毒加密后,被加密的文件名后缀会变为.HRM,并且会收到来自敲诈者的提示信息,向用户索要0.8个比特币作为赎金,按发稿时汇率换算,相当于人民币32000元。此次勒索病毒独特的后缀和昂贵的赎金也是其取名为“爱马仕”的原因。

图2:被加密后的文件

    “挑剔的”勒索病毒

  此次的勒索病毒会先检测中招者磁盘的剩余量,如果获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会停止工作。若磁盘空间充足,则会通过动态获取的方法加载后续操作所需要的函数,以此来躲避杀毒软件的静态查杀。

  其次,此次勒索病毒会检测当前操作系统的语言,若发现系统语言是俄语、乌克兰语或白罗斯语则不会继续加密。曾经名噪一时的Locky家族勒索病毒的代码中,也有类似的判断逻辑,我们有理由相信这是一种病毒作者对泛俄语地区用户的保护,也可能是对这些地区的栽赃抹黑。

    文件加密过程:

  该勒索病毒会在本地生成两个文件:

  1. PUBLIC为病毒在本地生成的RSA密钥对中的公钥部分

图3:RSA公钥写入PUBLIC文件

  2. UNIQUE_ID_DO_NOT_REMOVE则分为两部分,其第一部分是用256位的AES密钥去加密2048位的RSA的私钥,而第二部分是用病毒中硬编码的RSA公钥去加密AES密钥。

图4:生成UNIQUE_ID_DO_NOT_REMOVE文件

  完成后,病毒会将刚刚生成的PUBLIC文件中的RSA公钥读取出来,在稍后进行的文件加密操作中,用于对加密密钥的再加密工作。所有加密工作完成后,病毒还会进行一些其他的善后工作。首先是删除卷影副卷,以及删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串类型的文件——因为这些文件都可能是备份文件。之后,并对会再次检测桌面目录中是否有生成敲诈信息,如果没有就生成一份敲诈信息。确认敲诈信息存在后,病毒会将这份桌面上的 DECRYPT_INFORMATION.html敲诈信息文件直接运行起来。最后删除病毒自己。

  勒索病毒读取并解密自身资源,释放勒索信息,然后从自身资源中获取勒索邮箱地址。邮箱地址有两个:一个是dechhelp#airmail.cc,另一个是dechsupp#cock.lio。其中后者为备用邮箱。勒索者会通过邮箱向受害者索要赎金。

图5:与黑客邮件回话内容

  在线服务器一直以来都是黑客们最常攻击的目标,而勒索病毒为这种攻击提供了一个新的变现渠道。一般来说,服务器上的数据比普通PC端的更具价值,中了勒索病毒以后也更愿意交付赎金,对于疏于防护服务器的中小企业来说是个不小的威胁。因此360安全专家提醒广大用户在开启远程桌面时要尽可能避免使用默认的用户名和使用复杂的口令,严格控制账户权限,定期更换口令,并且尽早安装360安全卫士进行防护。






  声明:本文仅为传递更多网络信息,不代表本站观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页

本文评论
神预测短信让球迷成竞猜“幸运儿”?腾讯手机管家精准拦截诈骗短信
6月20日,世界杯比赛第七日,俄罗斯乌拉圭提前晋级,而备受关注的葡萄牙队依靠C罗开场仅4分钟的头球......
日期:06-22
微信给微视做了一次“限时推广” 此前也为星巴克等品牌做过
14日,用户在打开微信朋友圈相机图示按钮后,会发现多了一个“用微视拍摄”的推广选项,......
日期:09-17
酷狗又曝黑科技让音乐分享动起来!
没有几个黑科技,哪好意思出来玩音乐?作为业内领先的音乐平台,酷狗音乐不但歌多,黑科技也特别多。......
日期:09-14
微软Office 365 UX重大更新!全新流畅设计
微软去年开始在Office应用程序中添加Fluent Design(流畅设计)元素。起初,微软将Fluent Design的Acr......
日期:09-28
看剧学纯正发音 搜狗词典APP出新招拯救国人“哑巴英语”
“哑巴式英语”一直是国人学习英文的一大诟病。近日,搜狗词典APP实现重要升级,接入上百......
日期:03-09
职场不如意?腾讯文档的一键翻译了解一下
据统计,全球常用语言超过7000种,但超过8成的人口仅掌握了1~2门语言,无论是外文典籍阅读、工作晋......
日期:04-20
微软开始推送Windows 10 19H1跳跃预览版18237更新
9月13日消息 今天微软面向跳跃预览用户推送了Windows 10 19H1 Build 18237系统更新,在该版本中,Wi......
日期:09-13
价格暴涨 全线缺货 最近Intel处理器缘何如此疯狂
最近几天,笔者在微博收到了越来越多的网友私信,表示Intel第八代酷睿处理器出现了大面积的价格暴涨......
日期:09-12
迅雷U享版:迅雷会员专属客户端、轻量极速,只专注下载!
迅雷U享版,迅雷会员 专属的PC下载客户端,号称“下载界的一股清流”,极为简洁、清爽。......
日期:09-13
微软Office 2019正式版发布:仅支持Win10和最新macOS
9月25日早间消息,在今晨的微软Ignite大会期间,微软宣布面向Windows和Mac推出Office 2019正式版,......
日期:09-25
网贷成网络电信诈骗新工具 360手机卫士提示隐私信息需保护
从现在开始,点头、摇头都需要谨慎了!你的脑袋在摄像头前上下、左右晃动的每一个瞬间,都有可能成为......
日期:03-01
聚集办公升级,MAXHUB携“互联网+”行业新应用亮相办公博览会
2018年5月19日~21日,由广东省现代办公设备协会主办的2018广东现代办公行业年会暨大办公博览会在广......
日期:05-22
TNT办公初体验 我被这些神操作惊了
作为桌面级别操作系统来对标,目前的TNT无疑是稚嫩的,甚至有些偏激;但是从交互逻辑,功能体验来说......
日期:09-01
斗鱼游戏+战略专注电竞领域 吸引众多世界冠军加盟
斗鱼自成立之初,就深耕于游戏直播领域,在“游戏+”战略指导下,专注于打造以“全......
日期:09-26
鲁大师3.15假机报告出炉:你深陷假机重灾区了吗?
3.15消费者权益日马上就要到了,手机打假也逐渐被人们所关注。鲁大师,作为手机打假的领导者,是一......
日期:03-14
腾讯手机管家联动哈尔滨警方推“警民亲情守护”功能,开启防御电信网络诈骗的新路径
从诈骗电话到诈骗短信,不法分子精心设计骗局,一些用户因此不幸遭遇财产损失。面对电信网络诈骗,......
日期:05-23
十一将至 为什么携程这类旅游App使用率较高?
中秋和国庆假期转眼就要来临,摩拳擦掌做出行攻略的人不在少数。吃、住、行成为假期旅游关注重点,......
日期:09-18
Win10 19H1新版18247推送:以BUG修复为主
9月27日消息,微软今晨面向Skip Ahead跃前通道的会员推送Windows 10 19H1最新预览版,Build 18247。...
日期:09-27
Windows 10新版17755发布:免数据线发送、接收手机短信
9月8日消息,微软开始推送Windows 10 RS5快速预览版17755系统更新,隶属于RedStone 5,距离上次1775......
日期:09-08
微信订阅信息流又又又改版了 会是你喜欢的模样吗?
微信 6.7.3 for Android 内测版推出已经快 20 天了,许多用户想要体验内测版却被告知没有内测资格,......
日期:09-25