首例以“冠状病毒”为主题的勒索病毒,篡改系统MBR

前言概述

2020年勒索病毒攻击仍然是网络安全的最大威胁,在短短三个月的时间里,已经出现了多款新型的勒索病毒,关于2020年勒索病毒攻击新趋势,可以阅读笔者写的上一篇文章,里面有详细的分析,从目前观察到的情况,2020年勒索病毒的攻击已经比2019更加频繁,更多黑客组织发现挖矿带来的收益太慢了,都纷纷加入到勒索病毒攻击活动中,通过勒索病毒快速获取暴利,此前由于新冠病毒疫情的爆发,一些黑客组织通过新冠病毒来传播各种恶意软件,其中包含AZORult等间谍窃密软件,利用新冠病毒疫情传播的这些恶意软件都是俄罗斯地下网络论坛中最为常见的一些恶意软件,前不久国外研究人员还发现有一款手机勒索病毒CovidLock利用新冠疫情传播,随着新冠病毒在国外越来越严重,黑客组织会不会持续利用疫情传播各种恶意软件,需要持续关注

最近国外安全研究人员公布了一款以“冠状病毒“为主题的勒索病毒,这款勒索病毒会修改系统MBR,会修改受害者主机磁盘名为CoronaVirus,同时生成的勒索提示信息文件为CoronaVirus.txt,勒索提示信息内容显示会全天候接受美国大选的捐款,研究发现这款新型的勒索病毒主要通过假冒Windows系统实用程序网站WiseCleaner.com进行传播,黑客假冒的网站地址:wisecleaner.best,受害者从这个网站会下载安装恶意程序,该恶意程序会从远程服务器上下载释放Kpot窃密木马和CoronaVirus勒索病毒,KPot窃密木马会收集盗取受害者Web浏览器帐号和密码、通信软件、VPN、FTP、电子邮件帐户、游戏帐户以及虚拟货币登录凭据等数据,收集的这些数据可以用于在暗网中出售获利,也可以用于后期进行更进一步的渗透攻击活动,比方利用收集到的这些数据进行APT攻击活动等,同时还可以通过公布这些数据来逼迫受害者交付赎金,其实从2019年年底开始,笔者已经监控到好几个勒索病毒黑客组织已经开始使用“盗窃+勒索”的方式进行攻击,这些勒索病毒黑客组织在使用勒索病毒攻击加密受害者数据的同时会使用窃密木马盗取客户的数据,为什么黑客组织会这样?

企业数据安全是企业以及安全厂商关注的重点,黑客赢利的主要手段也是针对企业数据进行盗取或破坏,对企业数据进行盗取主要是通过各种窃密木马,远控木马进行攻击,主要使用的手段就是垃圾邮件、网络钓鱼、水坑攻击、供应链攻击等方式,通过企业安全意识最薄弱的人员入手,一步一步渗透到企业内网,植入窃密远控等木马进行数据窃取,这种攻击行为就现在很多安全企业宣传的APT攻击组织行为,其实还有一类就是对企业的数据进行破坏的攻击,最近几年增加最快的就是勒索病毒,这种攻击行为以前主要是黑客组织追求利益,通过加密勒索受害者BTC,未来可能会在国与国之前利用这种病毒进行网络战争,勒索病毒或破坏性病毒会成为未来网络战的攻击武器之一、勒索病毒使用的技术已经朝着三个方向发展:复杂性、针对性、多元性,未来勒索病毒将不仅仅是黑客组织谋利的主要手段之一,同时也会成为未来网络安全战的核心武器之一,针对敌对国家的一些重要的基础设施和网络设备发起勒索病毒攻击,同时基于安全性的考虑未来更多的企业会将数据存储到云上,所以黑客的目标会转向针对云计算机服务器发起攻击,云计算将是黑客组织的下一个重点目标,同时未来会有更多新型的窃密木马家族出现,通过各种窃密木马收集企业数据,为后期发起APT攻击作准备,事实上黑客组织每天都在更新自己的恶意软件武器库,研究新的网络攻击武器和攻击手法,更多详细的内容,笔者后面有空再给大家写一篇文章介绍,安全永远在路上,很多安全从业人员说做安全是走上了一条“不归路”,其实是这样的,当你决定做安全的那一刻起,就需要坚持,坚持,再坚持,选择安全,就是选择了永不停歇,选择安全,就是要有决战到底的信念,安全没有终点,就是需要持续不断的去研究,研究新的漏洞、研究新的恶意软件、研究新的黑客组织活动、研究新的攻击手法、这就是安全的根本与核心,我们要明白做安全的真正的对手就是那些黑客组织里面研究这些的人,只是黑客的目标是为了获取暴利,通过攻击受害者获利,做安全是为了保护受害者,帮助受害者减少损失,防止被黑客组织攻击,安全永远是人与人的斗争,人就是最大的安全因素,因为总有人想通过手段快速获取暴利,所以要么就不要做安全,要做就只能做到底!

详细分析

笔者对CoronaVirus勒索病毒进行了分析,Kpot窃密木马分析后面有空再分享给大家

1.样本采用了反-反汇编技术,防止安全分析人员对样本进行静态分析,如下所示:

对反-反汇编代码进行处理之后,如下所示:

2.解密出字符串CoronaVirus,如下所示:

3.创建相应的注册表信息,如下所示:

创建之后,里面包含BTC钱包地址,邮箱地址等,如下所示:

黑客的邮箱地址:coronaVi2022@protonmail.ch

BTC钱包地址:

bc1q5e8pwyk9rqtq400agngmq5h23cuz42x0wlqw3q

4.拷贝自身到临时目录下jvbt.exe,如下所示:

5.创建线程,启动临时目录下勒索病毒副本程序,如下所示:

6.通过ShellExecuteExW执行勒索病毒,如下所示:

7.遍历本地磁盘目录文件,并创建线程,加密文件,如下所示:

8.遍历网络共享目录文件,并创建线程,加密文件,如下所示:

9.创建线程,加密文件,如下所示:

10.加密后的文件名被修改为

coronaVi2022@protonmail.ch___+[源文件名],相关代码,如下所示:

加密后的文件名,如下所示:

11.生成勒索提示文件CoronaVirus.txt,内容如下所示:

13.该勒索病毒还会修改系统MBR,修改之后,如下所示:

在2020年过去的三个月里,新冠病毒这场突如其来的疫情给全球都带来了或多或少的影响和变化,现在国外新冠疫情比较严重,这场疫情什么时候能在全球范围内完全结束,可能还需要一段时间,由于新冠疫情的影响,现在全球公共卫生医疗机构的资源都非常紧张,国外安全公司Emsisoft已经呼吁勒索病毒黑客组织团伙现在不要对医院或公共医疗组织机构发起勒索病毒攻击,随后Maze勒索病毒黑客团队就在论坛上发表相关的申明,承诺不对医院等组织机构部门发起勒索病毒攻击,全球的勒索病毒黑客组织,现在真的不要再去攻医院或相关卫生医疗机构了,新冠病毒是一场全人类共同的战争,需要全人类共同的努力才能战胜它!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/716991.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux 学习笔记(9)

九、 运行级别 1 、 Linux 系统的运行级别 (runlevel) Linux 系统有 7 个运行级别, Linux 系统任何时候都运行在一个指定的运行级别上,不同的运行级 别所运行的程序和服务不尽相同,所要完成的工作和要达到的目的也不相同 运行级别…

RH850P1X芯片学习笔记-Generic Timer Module -ATOM

文章目录 ARU-connected Timer Output Module (ATOM)OverviewGLOBAL CHANNEL CONTROL BLOCK ATOM Channel architectureATOM Channel modesSOMP-Signal Output Mode PWMSOMP - ARUSOMC-Signal Output Mode CompareSOMC - ARUSOMC – COMPARE COMMANDSOMC – OUTPUT ACTIONATOM …

Python缩进规则

Python的缩进规则是Python语法中非常重要的一部分,也是Python语言独特的特点之一。在Python中,缩进被用来表示代码块的层次结构,而不是像其他语言一样使用大括号或关键词。这种缩进规则使得Python代码更加简洁、易读、易于理解,同…

python模块百科_操作系统接口_os【一】

python模块百科_操作系统接口_os【一】 os --- 多种操作系统接口一、相关模块1.1 os.path 文件路径1.2 fileinput 文件读取1.3 tempfile 临时文件和目录1.4 shutil 高级文件和目录1.5 platform 操作系统底层模块 二、关于函数适用性的说明2.1 与操作系统相同的接口2.2 支持字节…

Git版本管理常用指令

Git常用命令 一、基本指令二、本地仓库管理三、远程仓库管理四、分支管理五、储藏区六、标签管理一、基本指令 查看Git安装版本:git --version 查看log指令的帮助信息:git log --help 配置Git用户名:git config --global user.name “xxxxx” 配置Git邮箱: git config --…

2024年腾讯云新用户优惠券领取入口及使用教程

随着云计算技术的不断发展和普及,越来越多的个人和企业选择使用云服务。腾讯云作为国内领先的云服务提供商,为了吸引新用户,经常推出各种优惠活动,其中就包括新用户专属优惠券,本文将为大家分享腾讯云新用户优惠券的领…

5个好玩神奇还免费的工具网站收藏不后悔-搜嗖工具箱

生命倒计时 http://www.thismuchlonger.com 这是一个相哇塞的网站,可以让我们静下心来好好想想我们来这个世界究竟为了什么,因为当我们作为命运的主宰者。敲打键盘设定好自己一生长度的时候,我们的剩余寿命已经成绝对值,一旦生命…

创建型模式之原型模式

一、概述 1、工作原理:将一个原型对象传给要发动创建的对象(即客户端对象),这个要发动创建的对象通过请求原型对象复制自己来实现创建过程 2、通过克隆方法所创建的对象是全新的对象,它们在内存中拥有新的地址,每一个克隆对象都是独立的 3…

MySQL 中的 varchar 和 char 有什么区别?MySQL中 in 和 exists 区别?

MySQL 中的 varchar 和 char 有什么区别? char 是一个定长字段,假如申请了char(10)的空间,那么无论实际存储多少内容.该字段都占用 10 个字符,而 varchar 是变长的,也就是说申请的只是最大长度,占用的空间为实际字符长度1,最后一个字符存储使用了多长的空间. 在检索…

李沐动手学习深度学习——3.6练习

本节直接实现了基于数学定义softmax运算的softmax函数。这可能会导致什么问题?提示:尝试计算exp(50)的大小。 可能存在超过计算机最大64位的存储,导致精度溢出,影响最终计算结果。 本节中的函数cross_entropy是根据交叉熵损失函数…

JavaScript之数据类型

系列文章目录 文章目录 系列文章目录前言 前言 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。 数据类型   Java…

20.图

图的基本概念 1.图的定义 由顶点和边组成的集合,G(V,E) 2.基本概念 邻接点: 对于无向图u v来说,uv互为邻接点 对于有向图u->v来说,v是u的邻接点,但u不是v的临界点 路径: 一个顶点到另一个顶点所经过的…

从Poincare猜想看中国数学的国际地位

2006年丘成桐学派利用北京晨兴数学中心,宣布一名俄国学者Poincare猜想研究中存在错误,已经由华裔学者朱熹平和曹怀东纠正过来,但数年以后我发现作为千禧七问题之一的Poincazre猜想,英国克莱数学所还是把1百万美元奖金送给俄国人。…

蓝桥杯:卡片

题目 小蓝有很多数字卡片,每张卡片上都是数字0 到9。 小蓝准备用这些卡片来拼一些数,他想从1 开始拼出正整数,每拼一个,就保存起来,卡片就不能用来拼其它数了。 小蓝想知道自己能从1 拼到多少。 例如,当小…

动态规划-最长公共子串(c)

动态规划 动态规划(dynamic programming)是一种算法设计方法。基本思想是在对一个问题的多阶段决策中,按照某一顺序,根据每一步所选决策的不同,会引起状态的转移,最后会在变化的状态中获取到一个决策序列。…

vs code更新后json文件无法识别通配符 ,编译多文件失败的解决办法

问题描述 在Mac或者LInux上,进行C/C相同路径下进行多文件编译时,之前设置好的json文件突然不能解释通配符,并且将带有单引号的地址传给clang,由于*.c被扩在单引号中,clang找不到文件导致失败。 如果将命令端中的指令复…

云服务器无法Ping通解决

问题: 使用公网IP地址PING云服务器,无法PING通 但是可SSH到服务器,表示通信链路是正常的,可能是端口或路径规则未开放导致 登陆云服务器后台,进行安全组规则查看,发现ICMP没有放行 添加允许ICMP连接规则 成功PING通云服务器

LeetCode——二叉树(Java)

二叉树 简介[简单] 144. 二叉树的前序遍历、94. 二叉树的中序遍历、145. 二叉树的后序遍历二叉树层序遍历[中等] 102. 二叉树的层序遍历[中等] 107. 二叉树的层序遍历 II[中等] 199. 二叉树的右视图[简单] 637. 二叉树的层平均值[中等] 429. N 叉树的层序遍历[中等] 515. 在每个…

Java接口

接口的定义 抽象方法的集合,接口通常以interface来声明。一个类通过继承接口的方式,从而来继承接口的抽象方法。 接口并不是类,编写接口的方式和类很相似,但是他们属于不同的概念。类描述的是对象的属性和方法。接口则包含类要实…

AcWing 4726. 寻找数字

解题思路 在这个二插搜索树中寻找&#xff0c;4和7数量相等&#xff0c;并且大于n的最小数。 相关代码 import java.util.*;public class Main {static String s;static List<Integer> res new ArrayList<>();static long n;static long ansLong.MAX_VALUE;publ…