[转]当勒索病毒“不图财”时会图什么？

众所周知，勒索病毒通过加密受害人电脑里的重要文件来进行勒索，通常要求受害人支付比特币才能解锁文件，然而最近国外出现一款新型的勒索病毒PewCrypt，当受害人感染该病毒后，并不要求受害者支付金钱或比特币，而是……

概述

众所周知，勒索病毒通过加密受害人电脑里的重要文件来进行勒索，通常要求受害人支付比特币才能解锁文件，最近国外出现一款新型的勒索病毒PewCrypt (由于加密后缀为PewCrypt所以我们命名其为PewCrypt勒索者)，当受害人感染该病毒后，并不要求受害者支付金钱或比特币而是要求受害人订阅YouTube网站上的一个频道PewDiePie，当该频道订阅量达到一亿后作者才会公布解密工具，但是当另外一个频道T-Series的订阅量超过PewDiePie时，该勒索软件作者将不会公布相关解密工具。

根据查询发现，PewDiePie和T-Series两个频道在争夺YouTube网站第一订阅量的位置，可能是某些人为了获取更多的订阅量而编写并传播了该勒索病毒。截至发稿前PewDiePie频道的订阅量为87220671 ，T-Series频道的订阅量为87087817 。

PewDiePie频道于2010年4月29日注册，位置显示位于美国，是一个制作搞笑、搞怪、创意视频的视频频道，截至目前共有3760个视频。

T-Series频道于2006年3月13日注册，位置显示位于印度，是一个制作与印度相关的创意音乐视频的视频频道，截至目前共有13154个视频。

样本分析

PewCrypt勒索者是一款用Java语言编写的勒索病毒软件，运行后会使用AES+RSA算法对文件进行加密，截止目前无法对加密后的文件进行解密。

病毒加密流程如下：

病毒首先获取指定目录路径，指定加密目录如下：

然后遍历指定加密目录下文件的绝对路径并保存到列表中。

生成32字节的随机数并转化为256位的AES密钥，使用的加密算法为AES/ECB/PKCS5Padding。

对前面获得的文件路径进行判断，如果后缀为".PewCrypt", ".exe", ".jar",".dll"则不进行加密，其他类型的文件均会被加密。加密前会判断文件是否存在，文件是否可读可写，文件大小是否小于19M，如果是就开始进行加密，使用上面生成的256位AES密钥进行加密，加密后会覆盖原文件并加上后缀".PewCrypt"。

使用RSA加密算法对前面用于加密文件的256位AES密钥进行加密。

加密后的密钥内容保存到病毒所在目录并命名为AES.key。

勒索提示窗口会不断对YouTube网站进行访问获取PewDiePie频道和T-Series频道最新的的订阅量并显示出来。

最后显示窗口警示：你的文件已经被加密，需要去YouTube上订阅频道PewDiePie，频道订阅量达到一亿后作者才会发布解密工具，但如果另外一个频道T-Series的订阅量超过了PewDiePie频道，作者将永远不会公布解密工具。

查杀与防御

目前360天擎、360安全卫士均能查杀此类勒索病毒。

防护建议：

1.不要随意下载和运行不信任的软件，避免打开恶意软件。

2.在设置电脑密码时应使用相对复杂的密码，防止黑客通过弱口令进行渗透和传播病毒。

3.安装必要的安全软件进行防护。

IOC

MD5

PewCrypt.exe：903f9076aadc67938aed2929cc051d53

原文地址：https://www.cnblogs.com/QKSword/p/10447708.html

时间： 2024-11-01 13:43:19

[转]当勒索病毒“不图财”时会图什么？的相关文章

挨踢观察：勒索病毒又要瞄准移动端了？移动支付安全该怎么办？

5月12日至今,肆虐全球的WannaCry勒索病毒让全球网民度过了灰暗恐慌的一周,也让诸多普通网民真正意识到,网络安全并非只是网络公司或安全公司的事了,自己也是网络安全中的一员.据了解,WannaCry勒索病毒是黑客组织"影子经纪人"外泄的黑客工具,而该组织日前再次发出警告,将于今年6月披露更多的黑客工具,主要瞄准路由器.浏览器.Windows 10.或者手机!这就是说,第一波的勒索病毒主要针对Windows系统,而接下来的将会涉及到我们每个人的手机! 在写文章前,我想先问一个问题:你

勒索病毒防护

1 概述 WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播.该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金.勒索金额为300至600美元.2017年5月14日

U-Mail邮件网关测试勒索病毒样例图

俗话说得好,"患难见真情",也就是说平时看上去山盟海誓甜言蜜语,但一到危机关头各自飞了:同样的,日常上网看到各种平台言之凿凿的夸下海口说自己的平台固若金汤,对病毒防范一级棒,但最近勒索病毒一来,就纷纷将这些软件.平台打回原形,一个个的防线就像豆腐渣,不堪一击. 所谓"真金不怕火炼",一直有许多朋友担心U-Mail邮箱使用不安全,事实上如何呢?小编敢夸口:只要你安装了U-Mail邮件网关,则可确保高枕无忧.空口无凭,有图为证: 首先尝试一下直面勒索病毒的攻击吧,从网上

勒索病毒WannaCry针对服务器及其内部网络操作指引

5月12日,全球爆发勒索病毒WannaCry,大量企业和组织遭受大规模的勒索攻击,国内高校内网.大型企业内网和政府机构专网相继中招. 系统中毒后,会加密系统中的照片.图片.文档.压缩包.音频等几乎所有类型的文件,不法分子据此向受害者提出勒索要求,支付高额赎金才能解密恢复文件,对重要数据造成严重损失. 一.序言本操作指引分为三个步骤展开: 1.隔离受感染主机 2.切断传染途径 3.修复系统隐患二.隔离受感染服务器主机如果发现已经有主机被感染,立刻对此主机进行隔离.对于不确定是否已经被感

U-Mail邮件网关过滤勒索病毒测试报告

俗话说得好,“患难见真情”,也就是说平时看上去山盟海誓甜言蜜语,但一到危机关头各自飞了:同样的,日常上网看到各种平台言之凿凿的夸下海口说自己的平台固若金汤,对病毒防范一级棒,但最近勒索病毒一来,就纷纷将这些软件.平台打回原形,一个个的防线就像豆腐渣,不堪一击. 所谓“真金不怕火炼”,一直有许多朋友担心U-Mail邮箱使用不安全,事实上如何呢?小编敢夸口:只要你安装了U-Mail邮件网关,则可确保高枕无忧.空口无凭,有图为证: 首先尝试一下直面勒索病毒的攻击吧,从网上找来一个勒索病毒的样本: 接着

勒索病毒入侵XP古董电脑尴尬一幕：配置太低被强制停止

上周爆发的勒索病毒至今已经让数十万PC受害,为了防止更多用户感染,微软和各家安全公司都纷纷给出更新补丁或者临时防范策略. 不过,抵御勒索病毒的终极措施或许只是一台"古董PC"这么简单. 台湾网友莱恩15日晒图称"电脑烂到病毒跑不动."(WinXP+古董配置) 原来,莱恩的电脑最初也被勒索病毒感染,但就当病毒程序运行时却被系统提示"失去响应"而强制终止.疑似配置太低无法满足运行需求-- 面对这种尴尬局面,网友们也纷纷发表看法:"连病毒都嫌

如何应对勒索病毒

前言:勒索病毒WannaCry肆虐全球,利用Windows操作系统漏洞,因链式反应迅猛自动传播,校园电脑.个人电脑.政府机关都是重灾区.中毒电脑所有文档被加密,将被勒索高达300美元以上.管家与你,一起防治! 防治指南: I:天呐!原来正确开机可以防毒! 无论是在家庭.公司还是公共网络,普通的网络使用者,只要在开机前完成以下4件事,就可以完美避开勒索病毒. 1.开机前断网如果电脑插了网线,则先拔掉网线:如果是通过路由器连接wifi,则先关闭路由器. 2.备份重要文档将电脑中的重要文档拷贝至移

达思sql数据库修复软件：用友金蝶管家婆思迅中了勒索病毒怎么办？

近几年,勒索病毒肆虐网络,通过网站漏洞.恶意程序.诱导邮件等方式飞速蔓延,很多企事业单位被恶意×××损失惨重,被病毒加密的文件会附带一个解密的说明,勒索受害者巨额赎金(一般为1-3个比特币,折合人民币5-18万元左右). 勒索病毒席卷全球我们只能交赎金吗? 一.勒索病毒加密的文件有什么特点? 1.勒索病毒的后缀有: .java..CHAK..RESERVE..GOTHAM..aleta..arrow..TRUE..rapid..FREE.MAN..WannaCry..arena..sexy..