火绒安全软件

标题: 警惕“有偿修改代码”陷阱或为勒索病毒在诱骗 [打印本页]
作者: huoronganquan    时间: 2020-7-30 18:28
标题: 警惕“有偿修改代码”陷阱或为勒索病毒在诱骗
【快讯】

近日,火绒接到用户反馈,在精易论坛、QQ群等平台遭遇勒索病毒攻击:黑客在上述平台中利用“有偿修改代码”为由,诱骗用户下载、运行被植入勒索病毒代码的程序,趁机加密用户文件,并索要300元赎金解密。由于该攻击出现在论坛、技术类QQ群等软件编码交流平台,不排除为针对此类相关人群发起的定向投毒事件。

该勒索病毒使用非对称加密算法,在没有私钥的情况下目前还无法解密。火绒用户无须担心,火绒安全软件(个人版、企业版)可拦截该勒索病毒。

Image-4.png

根据火绒工程师溯源,发现黑客会先通过精易论坛的接单系统和QQ群等相关平台寻找、物色攻击目标,然后以有偿修改代码或者脱壳为由,引诱目标上当接受交易,最后将植入勒索病毒的易语言模块或编译后的勒索病毒直接发送给受害用户。一旦用户轻易运行病毒程序后,就会导致文件数据被加密。

火绒工程师提醒大家,论坛、QQ群等平台用户环境复杂,切勿轻易接收运行陌生人发送的文件或程序;如果必须使用,可以提前开启安全软件进行扫描、查杀,或者前往火绒论坛求助,确保文件、程序安全后再运行,以免遭遇风险。


附:【分析报告】

一、详细分析

病毒作者通过易语言论坛和QQ群与攻击目标联系,之后会使用如下方式诱导攻击目标执行病毒代码:

1.  通过精易论坛接单系统联系攻击目标,以有偿修改代码作为诱饵,将植入勒索病毒代码的易语言模块和源文件发送给接单者。当接单者编译运行后,即会被勒索病毒加密文件。相关帖子,如下图所示:

Image-5.png
精易论坛

2.  通过QQ群联系攻击目标,以帮助其脱壳为由,将编译后的勒索病毒直接发送给群成员。当群成员进行脱壳操作运行病毒后,即会被加密文件。相关受害者发布的论坛帖子,如下图所示:

Image-6.png
吾爱破解论坛

病毒存在于被篡改之后编译的精易模块中,引用此模块编译出的可执行程序均带有如下病毒代码:

Image-7.png
修改后带毒的精易模块

该勒索病毒会加密C盘桌面和其他盘符上,除自身文件、.lnk文件和没有后缀名文件以外的文件,并在目录下释放勒索说明文档。相关现象,如下图所示:

Image-8.png
加密文件并释放勒索信

勒索病毒使用非对称加对称加密算法(RSA+DES),暂时无法解密。相关代码,如下图所示:

Image-9.png
RSA加密DES密钥生成用户id

Image-10.png
DES加密文件内容

二、 附录

病毒hash

Image-11.png


作者: huolongguo10    时间: 2020-7-30 19:05
顶,又是易语言
作者: 起什么名字    时间: 2020-7-31 07:45
作者: PandoraHearts    时间: 2020-7-31 08:39
可怕,火绒给力~
作者: yonxi3    时间: 2020-7-31 12:27
太好了,可以拦截。
作者: khuutd    时间: 2020-8-1 13:49
给火绒点赞。现在网络病毒听起来都恐怕,病毒越来越狡猾。
作者: huolongguo10    时间: 2020-8-2 19:14
https://www.52pojie.cn/thread-1230183-1-1.html
作者: huolongguo10    时间: 2020-8-2 19:16
https://www.52pojie.cn/thread-1210577-1-1.html  就是这个,就是这个,就是这个
作者: huolongguo10    时间: 2020-8-2 20:57
你们可以像处理wannaren一样,要密钥
作者: as86057    时间: 2020-8-4 20:27
又是易语言。。。
作者: chased    时间: 2020-8-6 17:25
哈希可以不要截图吗
作者: 起什么名字    时间: 2020-8-6 17:50
给火绒点赞
作者: LEOX    时间: 2020-8-6 21:52
易语言好多出事的啊
作者: 汪子凯本人    时间: 2020-8-7 19:16
未来会不会又把密钥公开,密钥放到注册表里似乎就是为公开做准备
作者: huolongguo10    时间: 2020-8-7 19:45
本帖最后由 huolongguo10 于 2020-8-7 19:47 编辑
汪子凯本人 发表于 2020-8-7 19:16
未来会不会又把密钥公开,密钥放到注册表里似乎就是为公开做准备

我问他了,他说没那么简单


作者: wing-summer    时间: 2020-8-10 11:29
易语言来搞事情
作者: hellowor1d    时间: 2020-8-13 11:03
现在有解密方法吗
作者: huolongguo10    时间: 2020-8-14 12:06
本帖最后由 huolongguo10 于 2020-8-14 12:08 编辑

https://zhuanlan.kanxue.com/article-11800.htm  360啊不,作者又开始吹了
作者: 闻道123    时间: 2020-8-31 14:15
感谢分享,谢谢楼主



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4