近日,有網(wǎng)友在社交媒體公開求助,稱感染了一款名為的新型勒索軟件,部分文件被加密,需要支付0.05個(gè)比特幣(約合2500元人民幣)。
部分截圖如下:
解密器圖標(biāo)偽裝。
奇安信病毒響應(yīng)中心在發(fā)現(xiàn)該情況后,第一時(shí)間發(fā)布了關(guān)于該的樣本解密器分析報(bào)告。
勒索軟件的樣本解密器截圖:
攻擊事件分析根據(jù)線索,我們發(fā)現(xiàn)于4月2號(hào)天擎用戶的攔截日志顯示
.exe -ep -A通過解碼發(fā)現(xiàn)會(huì)去下載并執(zhí)行的腳本。實(shí)際上該域名會(huì)重定向至如下鏈接。從Vip.txt中的腳本可見攻擊者會(huì)從圖床上下載.EXE和wwlib.dll,這種是典型的白加黑攻擊手段。通過執(zhí)行.EXE即可加載于同一目錄的wwlib.dll。
緊接著wwlib.dll會(huì)去加載\目錄下的you程序,有趣的是,fm文件會(huì)記錄程序的運(yùn)行時(shí)間,該時(shí)間使用簡(jiǎn)體中文進(jìn)行記錄,因此攻擊者是中國(guó)人的概率非常大。
該程序需要會(huì)使用對(duì)you進(jìn)行解密,解密后在內(nèi)存加載勒索軟件
之后的事,跟開頭的感染后的癥狀一致了。除了上面的勒索情況外,下載器還具有挖礦功能,其下載后會(huì)重命名為nb.exe,其意指中文的**
有趣的是,在事情發(fā)酵之后,攻擊者刪除了腳本中,下載勒索模塊的鏈接,變成了下面這個(gè)模塊。
我們可以合理的猜測(cè),勒索軟件作者都沒有料到,就因?yàn)樗麑⒗账鬈浖麨?strong>易語言 程序圖標(biāo),收到了如此大的關(guān)注,因此將鏈接刪掉從而試圖逃避檢測(cè)。
國(guó)貨來了,易語言開發(fā)新型勒索病毒
近日,互聯(lián)網(wǎng)上出現(xiàn)了一種后置名為“”的新型比特幣勒索病毒,并且實(shí)現(xiàn)了大規(guī)模傳播。還在今日登上了微博熱搜排行榜引發(fā)廣泛爭(zhēng)議。
中了新型勒索病毒,被加密文件后綴名變?yōu)椤? ”,并被索取0.05比特幣作為解密贖金。現(xiàn)價(jià)合人民幣3000左右,真太便宜了,國(guó)外的起步價(jià)都上萬。
經(jīng)火絨分析該病毒使用易語言編寫。
先介紹一下易語言:
易語言(EPL)是一門以中文作為程序代碼編程語言,其以“易”著稱,創(chuàng)始人為吳濤。創(chuàng)造易語言的初衷是進(jìn)行用中文來編寫程序的實(shí)踐,方便中國(guó)人以中國(guó)人的思維編寫程序,并不用再去學(xué)習(xí)西方思維。易語言的誕生極大的降低了編程的門檻和學(xué)習(xí)的難度。
之前中國(guó)人學(xué)習(xí)編程,需要最少學(xué)會(huì)幾百個(gè)單詞,學(xué)英文,才能編程。用易語言90%以上中國(guó)人,原因很簡(jiǎn)單,中國(guó)人學(xué)英文費(fèi)勁,國(guó)外人要用易語言編程首先要學(xué)中文,眾所周知學(xué)中文頂難的,老外有學(xué)會(huì)中文要很長(zhǎng)時(shí)間,這時(shí)間也可以學(xué)會(huì)最少兩門編程語言,C語言,。所以用易語言不說全部吧,絕大部分都是中國(guó)人,由此推斷用易語言寫勒索病毒應(yīng)當(dāng)是懂中文的人。
前些天抓起來一個(gè)人寫勒索病毒,用微信收贖金。用易語言寫勒索病毒,幾年前就出現(xiàn)了,作者吳濤還過寫一篇文章《請(qǐng)不要給易語言貼標(biāo)簽 》,用什么編程語言寫病毒,跟編程語言沒有任何關(guān)系,簡(jiǎn)單,上手快,但是后來不用了,原因是國(guó)內(nèi)殺病毒軟件無差別提示病毒,就算正常的程序,就寫一個(gè)對(duì)話框都提示是病毒。以xxx,3個(gè)數(shù)字的安全公司為首。實(shí)際C語言寫的病毒更多,也有易語言 程序圖標(biāo),為什么唯有易語言一刀切?本人個(gè)人看法就是狹隘與不自信。國(guó)外的編程工具病毒再多也不敢都不差別報(bào)病毒并殺掉,國(guó)產(chǎn)的編程語言得不到重視,隨便查殺。現(xiàn)在都2020年,老外全都在學(xué)中文,孔子學(xué)院全球開花。讓老外用中文編程有什么不行的?拿出民族自信,文化自信,崇洋媚外,不是什么好傳統(tǒng)。
最近國(guó)內(nèi)網(wǎng)絡(luò)安全環(huán)境不太好,SRC提交個(gè)高危漏洞給10元人民幣,HW各種費(fèi)用結(jié)算不了,很多安全公司都勉強(qiáng)支撐。之前網(wǎng)絡(luò)安全比較好的時(shí)候,都不會(huì)考慮灰色行業(yè),勒索病毒行業(yè)都上十億的收入,當(dāng)前這個(gè)情況很難保證一些人會(huì)挺而走險(xiǎn)。
勒索病毒之前的主力軍不在中國(guó),以西方國(guó)家小國(guó)與俄羅斯為主。如果國(guó)人取而代之成為主力軍,可能的后果.....
1,不光要勒索贖金,公開數(shù)據(jù),還可以將數(shù)據(jù)倒賣了。2,國(guó)人對(duì)中國(guó)企業(yè)更了解,中國(guó)企業(yè)將損失更大
3,會(huì)搶占國(guó)外市場(chǎng),價(jià)格能做到
還有什么后果,有什么看法,歡迎留言交流!
文章整合自:奇安信威脅情報(bào)中心、黑白之道