前言概述
2020年勒索病毒攻击仍然是网络安全的最大威胁,在短短三个月的时间里,已经出现了多款新型的勒索病毒,关于2020年勒索病毒攻击新趋势,可以阅读笔者写的上一篇文章,里面有详细的分析,从目前观察到的情况,2020年勒索病毒的攻击已经比2019更加频繁,更多黑客组织发现挖矿带来的收益太慢了,都纷纷加入到勒索病毒攻击活动中,通过勒索病毒快速获取暴利,此前由于新冠病毒疫情的爆发,一些黑客组织通过新冠病毒来传播各种恶意软件,其中包含AZORult等间谍窃密软件,利用新冠病毒疫情传播的这些恶意软件都是俄罗斯地下网络论坛中最为常见的一些恶意软件,前不久国外研究人员还发现有一款手机勒索病毒CovidLock利用新冠疫情传播,随着新冠病毒在国外越来越严重,黑客组织会不会持续利用疫情传播各种恶意软件,需要持续关注
最近国外安全研究人员公布了一款以“冠状病毒“为主题的勒索病毒,这款勒索病毒会修改系统MBR,会修改受害者主机磁盘名为CoronaVirus,同时生成的勒索提示信息文件为CoronaVirus.txt,勒索提示信息内容显示会全天候接受美国大选的捐款,研究发现这款新型的勒索病毒主要通过假冒Windows系统实用程序网站WiseCleaner.com进行传播,黑客假冒的网站地址:wisecleaner.best,受害者从这个网站会下载安装恶意程序,该恶意程序会从远程服务器上下载释放Kpot窃密木马和CoronaVirus勒索病毒,KPot窃密木马会收集盗取受害者Web浏览器帐号和密码、通信软件、VPN、FTP、电子邮件帐户、游戏帐户以及虚拟货币登录凭据等数据,收集的这些数据可以用于在暗网中出售获利,也可以用于后期进行更进一步的渗透攻击活动,比方利用收集到的这些数据进行APT攻击活动等,同时还可以通过公布这些数据来逼迫受害者交付赎金,其实从2019年年底开始,笔者已经监控到好几个勒索病毒黑客组织已经开始使用“盗窃+勒索”的方式进行攻击,这些勒索病毒黑客组织在使用勒索病毒攻击加密受害者数据的同时会使用窃密木马盗取客户的数据,为什么黑客组织会这样?
企业数据安全是企业以及安全厂商关注的重点,黑客赢利的主要手段也是针对企业数据进行盗取或破坏,对企业数据进行盗取主要是通过各种窃密木马,远控木马进行攻击,主要使用的手段就是垃圾邮件、网络钓鱼、水坑攻击、供应链攻击等方式,通过企业安全意识最薄弱的人员入手,一步一步渗透到企业内网,植入窃密远控等木马进行数据窃取,这种攻击行为就现在很多安全企业宣传的APT攻击组织行为,其实还有一类就是对企业的数据进行破坏的攻击,最近几年增加最快的就是勒索病毒,这种攻击行为以前主要是黑客组织追求利益,通过加密勒索受害者BTC,未来可能会在国与国之前利用这种病毒进行网络战争,勒索病毒或破坏性病毒会成为未来网络战的攻击武器之一、勒索病毒使用的技术已经朝着三个方向发展:复杂性、针对性、多元性,未来勒索病毒将不仅仅是黑客组织谋利的主要手段之一,同时也会成为未来网络安全战的核心武器之一,针对敌对国家的一些重要的基础设施和网络设备发起勒索病毒攻击,同时基于安全性的考虑未来更多的企业会将数据存储到云上,所以黑客的目标会转向针对云计算机服务器发起攻击,云计算将是黑客组织的下一个重点目标,同时未来会有更多新型的窃密木马家族出现,通过各种窃密木马收集企业数据,为后期发起APT攻击作准备,事实上黑客组织每天都在更新自己的恶意软件武器库,研究新的网络攻击武器和攻击手法,更多详细的内容,笔者后面有空再给大家写一篇文章介绍,安全永远在路上,很多安全从业人员说做安全是走上了一条“不归路”,其实是这样的,当你决定做安全的那一刻起,就需要坚持,坚持,再坚持,选择安全,就是选择了永不停歇,选择安全,就是要有决战到底的信念,安全没有终点,就是需要持续不断的去研究,研究新的漏洞、研究新的恶意软件、研究新的黑客组织活动、研究新的攻击手法、这就是安全的根本与核心,我们要明白做安全的真正的对手就是那些黑客组织里面研究这些的人,只是黑客的目标是为了获取暴利,通过攻击受害者获利,做安全是为了保护受害者,帮助受害者减少损失,防止被黑客组织攻击,安全永远是人与人的斗争,人就是最大的安全因素,因为总有人想通过手段快速获取暴利,所以要么就不要做安全,要做就只能做到底!
详细分析
笔者对CoronaVirus勒索病毒进行了分析,Kpot窃密木马分析后面有空再分享给大家
1.样本采用了反-反汇编技术,防止安全分析人员对样本进行静态分析,如下所示:
对反-反汇编代码进行处理之后,如下所示:
2.解密出字符串CoronaVirus,如下所示:
3.创建相应的注册表信息,如下所示:
创建之后,里面包含BTC钱包地址,邮箱地址等,如下所示:
黑客的邮箱地址:coronaVi2022@protonmail.ch
BTC钱包地址:
bc1q5e8pwyk9rqtq400agngmq5h23cuz42x0wlqw3q
4.拷贝自身到临时目录下jvbt.exe,如下所示:
5.创建线程,启动临时目录下勒索病毒副本程序,如下所示:
6.通过ShellExecuteExW执行勒索病毒,如下所示:
7.遍历本地磁盘目录文件,并创建线程,加密文件,如下所示:
8.遍历网络共享目录文件,并创建线程,加密文件,如下所示:
9.创建线程,加密文件,如下所示:
10.加密后的文件名被修改为
coronaVi2022@protonmail.ch___+[源文件名],相关代码,如下所示:
加密后的文件名,如下所示:
11.生成勒索提示文件CoronaVirus.txt,内容如下所示:
13.该勒索病毒还会修改系统MBR,修改之后,如下所示:
在2020年过去的三个月里,新冠病毒这场突如其来的疫情给全球都带来了或多或少的影响和变化,现在国外新冠疫情比较严重,这场疫情什么时候能在全球范围内完全结束,可能还需要一段时间,由于新冠疫情的影响,现在全球公共卫生医疗机构的资源都非常紧张,国外安全公司Emsisoft已经呼吁勒索病毒黑客组织团伙现在不要对医院或公共医疗组织机构发起勒索病毒攻击,随后Maze勒索病毒黑客团队就在论坛上发表相关的申明,承诺不对医院等组织机构部门发起勒索病毒攻击,全球的勒索病毒黑客组织,现在真的不要再去攻医院或相关卫生医疗机构了,新冠病毒是一场全人类共同的战争,需要全人类共同的努力才能战胜它!
