社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 71阅读
  • 2回复

[分享]警惕“有偿修改代码”陷阱 或为勒索病毒在诱骗

楼层直达
z3960 
级别: 茶馆馆主
发帖
495281
飞翔币
127923
威望
4227
飞扬币
2601893
信誉值
8

近日,火绒接到用户反馈,在精易论坛、QQ群等平台遭遇勒索病毒攻击:黑客在上述平台中利用“有偿修改代码”为由,诱骗用户下载、运行被植入勒索病毒代码的程序,趁机加密用户文件,并索要300元赎金解密。由于该攻击出现在论坛、技术类QQ群等软件编码交流平台,不排除为针对此类相关人群发起的定向投毒事件。该勒索病毒使用非对称加密算法,在没有私钥的情况下目前还无法解密。火绒用户无须担心,火绒安全软件(个人版、企业版)可拦截该勒索病毒。 根据火绒工程师溯源,发现黑客会先通过精易论坛的接单系统和QQ群等相关平台寻找、物色攻击目标,然后以有偿修改代码或者脱壳为由,引诱目标上当接受交易,最后将植入勒索病毒的易语言模块或编译后的勒索病毒直接发送给受害用户。一旦用户轻易运行病毒程序后,就会导致文件数据被加密。火绒工程师提醒大家,论坛、QQ群等平台用户环境复杂,切勿轻易接收运行陌生人发送的文件或程序;如果必须使用,可以提前开启安全软件进行扫描、查杀,或者前往火绒论坛求助,确保文件、程序安全后再运行,以免遭遇风险。附:【分析报告】一、        详细分析病毒作者通过易语言论坛和QQ群与攻击目标联系,之后会使用如下方式诱导攻击目标执行病毒代码:1.        通过精易论坛接单系统联系攻击目标,以有偿修改代码作为诱饵,将植入勒索病毒代码的易语言模块和源文件发送给接单者。当接单者编译运行后,即会被勒索病毒加密文件。相关帖子,如下图所示: 精易论坛2.        通过QQ群联系攻击目标,以帮助其脱壳为由,将编译后的勒索病毒直接发送给群成员。当群成员进行脱壳操作运行病毒后,即会被加密文件。相关受害者发布的论坛帖子,如下图所示: 吾爱破解论坛病毒存在于被篡改之后编译的精易模块中,引用此模块编译出的可执行程序均带有如下病毒代码: 修改后带毒的精易模块该勒索病毒会加密C盘桌面和其他盘符上,除自身文件、.lnk文件和没有后缀名文件以外的文件,并在目录下释放勒索说明文档。相关现象,如下图所示: 加密文件并释放勒索信勒索病毒使用非对称加对称加密算法(RSA+DES),暂时无法解密。相关代码,如下图所示: RSA加密DES密钥生成用户id DES加密文件内容二、        附录病毒hash


Image-11.png (16.09 KB, 下载次数: )


Image-9.png (115.21 KB, 下载次数: )


Image-10.png (53.45 KB, 下载次数: )


Image-7.png (77.92 KB, 下载次数: )


Image-8.png (148.67 KB, 下载次数: )


Image-6.png (409.9 KB, 下载次数: )


Image-5.png (84.84 KB, 下载次数: )


Image-4.png (28.65 KB, 下载次数: )

我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
562510
飞翔币
130870
威望
223218
飞扬币
1062150
信誉值
0

只看该作者 1 发表于: 08-01
来看一下
级别: 超级版主
发帖
562510
飞翔币
130870
威望
223218
飞扬币
1062150
信誉值
0

只看该作者 2 发表于: 08-01
不错,了解了