【一则小趣事】遇到了一个口吐莲花的勒索病毒
2023-11-2 11:6:8 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

加密了文件你还骂人?
近期,有用户向360反勒索申诉平台反馈,称自己系统中的文件被加密了。如今勒索软件也已经不算是什么稀罕物了,大家本也“见怪不怪”了。但接收到用户发送过来的被加密文件样本之后我们还是着实的吃了一惊:
很显然,这款勒索软件的除了加密受害用户的文件这一常规操作之外,还顺便用附加的文件扩展名骂了个街……这就着实是有些欺人太甚了。        
又见“激活工具”
经排查分析,最终确认了此次勒索事件是由于用户误执行了一个所谓的“w10秒激活文件2.exe”的程序所致。
据该用户回忆说,当时其正在尝试安装虚拟声卡。而其所在的讨论群中有人分享了这款所谓的“激活文件”并称其是用来启动虚拟声卡的启动器,于是用户便下载尝试。    
而在360客户端已拦截并隔离该程序后,受害用户却依旧选择了恢复并信任后继续执行,最终导致系统中文件被加密……
说实话,看到被系统重点标注出的文件类型一栏,对于不少人来说可能被文件被加密这事情本身更让人血压飙升……
而在完成文件加密后,该软件同样会弹出一个提示窗口告知受害用户其文件已被加密,并索要赎金。    
但与如今主流的勒索软件又有所不同的,是该软件作者留下的联系方式既非邮箱地址,亦非暗网地址。而是一个QQ号——148****691。
文件解密
经简单分析,发现该勒索软件本身处理起来并不复杂。该程序使用易语言编写,而其加密文件的手段也并未采用较为复杂的非对称加密模式。而是利用硬编码在程序代码内的密钥进行对称加密。这也就是说只要获取到其用于加密的密钥,同时也就可以进行解密操作了。
经分析定位,发现其用于加/解密的密钥字符串为“SCP1008611exe”    
同时,我们也通过实际测试印证了上述的分析结果
此外,该软件还会尝试通过修改注册表项来禁用系统的任务管理器。以此来尽可能的保全自身。
此类问题可通过全面的系统扫描功能进行修复。          
老生常谈的警示
目前,我们并未收到更多关于该勒索软件的反馈。无论从该软件的传播量还是从其代码水平和技术含量来说,该软件都应该是属于一款“练手”级的软件。
从软件作者及传播者的角度出发,我们善意的希望该软件作者纯属是因为“好玩”而一时糊涂所为之。毕竟,编写或传播此类软件加密他人文件,再以此为要挟向他人索要“赎金”,一旦坐实,这便是一条走向犯罪的不归路。    
而从受害者的角度来说,各类所谓“激活”、“破解”、“辅助”等工具暗藏恶意代码的例子屡见不鲜。万万不要被所谓“这种软件经常被误报”“放行就好,没事儿的”这类话术所迷惑。一旦轻信放行,那就代表这些软件将可以为所欲为,而你只能在没有安全保护的系统中独自面对这些“暗箭”。
最后,提供一些常规的安全建议:
  • 安装并确保开启安全软件,保证其对本机的安全防护。

  • 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件。

  • 下载软件安装包时要注意下载地址是否正常。

  • 不要轻易下载并运行未知程序。

  • 对于发现微信被异常控制,出现自动建群发生消息等问题的,尽快安装360终端安全产品,进行扫描查杀。

IOC
MD5
c60dedcc1bcaec4fbe1969bb84c7337a
QQ    
148****691    

文章来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649785763&idx=2&sn=36005afd2eab9a09167076bf9485153f&chksm=8893b5ccbfe43cda56bba1504b6377beff2459c887686298e24259ee56c4beefe6714365b79a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh