吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11801|回复: 100
收起左侧

[PC样本分析] 警惕“有偿修改代码”陷阱 或为勒索病毒在诱骗

  [复制链接]
火绒安全实验室 发表于 2020-7-30 18:29
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2020-7-30 18:55 编辑

【快讯】
近日,火绒接到用户反馈,在精易论坛、QQ群等平台遭遇勒索病毒攻击:黑客在上述平台中利用“有偿修改代码”为由,诱骗用户下载、运行被植入勒索病毒代码的程序,趁机加密用户文件,并索要300元赎金解密。由于该攻击出现在论坛、技术类QQ群等软件编码交流平台,不排除为针对此类相关人群发起的定向投毒事件。

该勒索病毒使用非对称加密算法,在没有私钥的情况下目前还无法解密。火绒用户无须担心,火绒安全软件(个人版、企业版)可拦截该勒索病毒。

Image-4.png

根据火绒工程师溯源,发现黑客会先通过精易论坛的接单系统和QQ群等相关平台寻找、物色攻击目标,然后以有偿修改代码或者脱壳为由,引诱目标上当接受交易,最后将植入勒索病毒的易语言模块或编译后的勒索病毒直接发送给受害用户。一旦用户轻易运行病毒程序后,就会导致文件数据被加密。
火绒工程师提醒大家,论坛、QQ群等平台用户环境复杂,切勿轻易接收运行陌生人发送的文件或程序;如果必须使用,可以提前开启安全软件进行扫描、查杀,或者前往火绒论坛求助,确保文件、程序安全后再运行,以免遭遇风险。

附:【分析报告】

一、        详细分析
病毒作者通过易语言论坛和QQ群与攻击目标联系,之后会使用如下方式诱导攻击目标执行病毒代码:
1.        通过精易论坛接单系统联系攻击目标,以有偿修改代码作为诱饵,将植入勒索病毒代码的易语言模块和源文件发送给接单者。当接单者编译运行后,即会被勒索病毒加密文件。相关帖子,如下图所示:

Image-5.png
精易论坛

2.        通过QQ群联系攻击目标,以帮助其脱壳为由,将编译后的勒索病毒直接发送给群成员。当群成员进行脱壳操作运行病毒后,即会被加密文件。相关受害者发布的论坛帖子,如下图所示:

Image-6.png
吾爱破解论坛

病毒存在于被篡改之后编译的精易模块中,引用此模块编译出的可执行程序均带有如下病毒代码:

Image-7.png
修改后带毒的精易模块

该勒索病毒会加密C盘桌面和其他盘符上,除自身文件、.lnk文件和没有后缀名文件以外的文件,并在目录下释放勒索说明文档。相关现象,如下图所示:

Image-8.png
加密文件并释放勒索信

勒索病毒使用非对称加对称加密算法(RSA+DES),暂时无法解密。相关代码,如下图所示:

Image-9.png

RSA加密DES密钥生成用户id

Image-10.png

DES加密文件内容

二、        附录
病毒hash
Image-11.png
Image-11.png
Image-9.png
Image-10.png
Image-7.png
Image-8.png
Image-6.png
Image-5.png
Image-4.png

免费评分

参与人数 44吾爱币 +48 热心值 +41 收起 理由
天蝎浪花 + 1 + 1 谢谢@Thanks!
a2399112970 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
孤欢 + 1 邮件里面居然挂52pojie,把这个人给办了。太恶心了,
blockAny + 1 + 1 我很赞同!
AshLikeSnow + 2 + 1 还挂了52pj的名头,真的是坏心思做尽了,52应该发表一下声明
石琢 + 1 + 1 热心回复!
LenJon + 1 + 1 热心回复!
kiriiri + 1 + 1 我很赞同!
没什么是一样 + 1 + 1 谢谢@Thanks!
Fc957 + 1 + 1 谢谢大佬提醒!
ycuvuuui1L + 1 + 1 谢谢@Thanks!
乐子蜀稷233 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lene + 1 + 1 谢谢@Thanks!
menglingxca + 1 + 1 热心回复!
yunkof + 2 + 1 热心回复!
32154678925 + 1 + 1 热心回复!
Zerobits + 1 + 1 我很赞同!
kk52140 + 1 + 1 热心回复!
冰课玏好喝 + 1 + 1 热心回复!
senkjm + 1 + 1 谢谢@Thanks!
永恒陌 + 1 各位别掉以轻心,不止是易语言 这货还会嵌到图片里,攻击java等开发者。接.
撕文擒兽 + 1 + 1 还挂了个52pojie的名号 真的贱
zw2192000 + 1 谢谢@Thanks!
oyaxiong + 1 + 1 我很赞同!
Je11y + 1 + 1 谢谢@Thanks!
dujia520 + 1 + 1 用心讨论,共获提升!
Icicle丶凌 + 1 + 1 热心回复!
Zhang147 + 1 + 1 用心讨论,共获提升!
yangkaicheng + 1 原来易语言也是这么强大!
5erlT + 1 用心讨论,共获提升!
xiaotian6 + 1 + 1 永远支持火绒
fei8255 + 1 + 1 谢谢@Thanks!
想要个妹妹 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
wangchenghu98 + 1 + 1 热心回复!
YWM2017 + 3 + 1 热心回复!
归彦 + 1 + 1 我很赞同!
antiol + 3 + 1 我很赞同!
Wer5ioon + 1 + 1 我很赞同!
忆魂丶天雷 + 1 + 1 谢谢@Thanks!
狄人3 + 1 + 1 我很赞同!
cxkj1225 + 1 + 1 谢谢@Thanks!感谢火绒为我们抗下了危险
叁拾 + 1 谢谢@Thanks!
confectionary + 1 谢谢@Thanks!
superBoyJack + 3 + 1 火绒再次为我们用户扛下了危险,感谢火绒

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

lizf2019 发表于 2020-7-30 18:48
易语言还是比较厉害的,毕竟是c语言的阉割版呢
ustbsgw 发表于 2020-7-30 21:04
看到邮件里面有52pojie字样,严重怀疑这个人碰瓷,或者想要搞吾爱论坛,再或者他本人就在论坛。强烈建议大佬们把他办了!
徒想er 发表于 2020-7-30 18:47
居然定向向技术人员投毒,这是想比下谁的道行更高是吧
mfkiwl 发表于 2020-7-30 19:23
这个明显是诱骗新手啊
对不明程序,怎么着也得上虚拟机呀
绫音 发表于 2020-7-30 18:55
确实恐怖  得预防小心
涛之雨 发表于 2020-7-30 18:47
52pojie_mail?
吾爱破解用户前来道歉。
头像被屏蔽
细水流长 发表于 2020-7-30 18:43
提示: 作者被禁止或删除 内容自动屏蔽
PandaHero 发表于 2020-7-30 18:51
这些人为了赚钱也太不择手段了。
酷柠 发表于 2020-7-30 18:52
杀人于无形
qq244321232 发表于 2020-7-30 18:55
0202年了不流行虚拟机了吗
淡雅香 发表于 2020-7-30 18:57
无孔不入,定向人群
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表