EvaRichter勒索病毒来袭

目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多,大部分勒索病毒是无法解密的,并且不断有新型的勒索病毒出现,各企业一定要保持高度的重视,马上放假了,一款新型勒索病毒来袭......

近日国外某独立恶意软件安全研究人员曝光了一个新型的勒索病毒,如下所示:

然后有人回复说是EvaRichter勒索病毒,并给出了id-ransomware博客地址,如下所示:

这款勒索病毒之所以勾起我的兴趣,主要是它与之前的GandCrab、Sodinokibi、

GermanWiper、NEMTY等勒索有某些类似之处,都将桌面壁纸修改成蓝色了,

笔者通过MD5在app.any.run上找到了相应的样本,如下:

样本被人在24号上传到了VT上,依据上传的时间判断可能就是国外那个独立恶意软件研究员上传的,从app.any.run上下载样本,图标使用了类似微信的图标,如下所示:

运行之后,加密的文件后缀为随机文件,如下所示:

勒索病毒会修改桌面壁纸为蓝色,如下所示:

勒索提示信息文本文件[加密后缀随机名]_how_to_decrypt.txt,内容如下所示:

访问勒索病毒解密网址,如下所示:

输入勒索提示信息中的Access Code码之后,如下所示:

黑客的BTC钱包地址:14Biqrf2fryuGNDrMDPchPCQeEjzZkqaLi,勒索赎金七天之内为:0.1521163 BTC,如下所示:

最近BTC降了一点,我们按今天BTC的市价来算,如下:

等于0.1521163 X 8405.59 = 1278美元(七天之内解密的价格)

此勒索病毒同样采用了高强度的代码混淆技术,简单的反调试技术,核心的勒索病毒代码被多层封装起来了,通过动态调试,解密出外壳的封装代码,如下所示:

继续跟踪调试,最后解密出核心的勒索病毒代码,如下所示:

解密出完整的勒索病毒核心是一个PE文件,采用Delphi语言进行编写,如下所示:

查看入口代码,如下所示:

使用IDA查看字符串信息,里面包含勒索相关信息,如下所示:

此勒索病毒最后还会删除磁盘卷影副本等操作,如下所示:

从勒索病毒的核心代码,我发现这款勒索病毒与之前我分析过的一款新型的勒索病毒GermanWiper创建的互斥变量一模一样,都是HSDFSD-HFSD-3241-91E7-ASDGSDGHH,GermanWiper勒索病毒的核心代码同样是使用Delphi语言编写的,于是我将两款勒索病毒的核心Payload代码进行对比,如下所示:

代码相似度也高达82%,所以我觉得这款勒索病毒应该是GermanWiper最新变种,国外安全研究人员又取了一个名字叫:EvaRichter勒索病毒,还是按国外安全研究人员的名字命名吧。

自从GandCrab勒索病毒于今年6月1 号,宣布停止运营之后,虽然后面再也没有见到过GandCrab的最新版本出现,然后它的影子似乎一直都在,比如现在比较流行的Sodinokibi勒索病毒,国外很多报道直指Sodinokibi与GandCrab有千丝万缕的关系,前面我就说过GandCrab勒索病毒虽然结束了,背后的运营团队只是宣布停止GandCrab勒索病毒的运营,它会不会继续运营其他勒索病毒家族呢?也许只是GandCrab勒索病毒的开发者不想开发了,它背后的运营团队会不会接着运营其它病毒呢?勒索病毒已经成为了黑产来钱最快的方式之一,大部分做黑产的不就是为了赚大钱吗?难怪会放弃这么好赚钱的机会?

GermanWiper勒索病毒上个月流行过一段时间,这款勒索病毒后面会不会大面积传播,需要持续的关注与跟踪,以前做黑产的都喜欢在放假的时候搞点事情,因为对于做黑产是没有休息日,而且越是放假,越容易搞一些活动,捆绑一些木马让用户主动下载,做黑产的为了搞钱,每天都在寻找不同的攻击目标,通过各种漏洞+恶意软件对目标进行攻击,获取暴利。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/470936.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【Linux】编译器-gcc/g++的使用(预处理、编译、汇编、连接)

目录 01.预处理(宏替换) 02.编译(生成汇编) 03.汇编(生成机器可识别码) 04.连接(生成可执行文件或库文件) 05.选项 编译器在编译代码时包含以下四个步骤:1.预处理 2…

数据结构(三)复杂度的深层次剖析

之前发布了数据结构(一),很多同学反响不够清晰,那今天就发一篇对复杂度专题的博客,希望对大家理解复杂度提供一些帮助。 时间复杂度 我们先来一个理解一个复杂度,二分查找的复杂度(之前写过二…

app调用系统接口示意图

1.linux下app不能直接访问内核。 用户态和内核态 2. 系统调用是应用程序和系统内核之间的接口。 (1)app访问内核通过调用glibc中的系统调用接口(open()、read()、write()…

html5cssjs代码 024 响应式布局示例

html5&css&js代码 024 响应式布局示例 一、代码二、解释 该HTML代码重点在于构建一个带有响应式设计的两栏布局网页,包含页头、导航条、主要内容区(左右两列)和底部区域,并运用CSS样式设置页面元素的布局、颜色、字体、间…

C++特性三:多态---案例三(电脑组装)

案例描述: 电脑主要组成部件为 CPU(用于计算),显卡(用于显示),内存条(用于存储) 将每个零件封装出抽象基类,并且提供不同的厂商生产不同的零件,例…

PwnLab靶场PHP伪协议OSCP推荐代码审计命令劫持命令注入

下载链接:PwnLab: init ~ VulnHub 安装: 打开vxbox直接选择导入虚拟电脑即可 正文: 先用nmap扫描靶机ip nmap -sn 192.168.1.1/24 获取到靶机ip后,对靶机的端口进行扫描,并把结果输出到PwnLab文件夹下,命名…

杰发科技AC7801——Keil编译的Hex大小如何计算

编译结果是Keil里面前三个数据的总和: 即CodeRoDataRWData的总和。 通过ATCLinkTool工具查看内存,发现最后一个字节正好是5328 注意读内存数据时候需要强转成32位,加1000的 增加1024的地址只需要加256即可

【技术栈】Redis 删除策略

SueWakeup 个人主页:SueWakeup 系列专栏:学习技术栈 个性签名:保留赤子之心也许是种幸运吧 本文封面由 凯楠📸 友情提供 目录 相关传送门 前言 1. 删除策略的目标 2. 数据删除策略 2.1 定时删除 2.2 惰性删除 2.3 定期删除…

【S5PV210】 | GPIO编程

【S5PV210】 | GPIO编程 时间:2024年3月17日22:02:32 目录 文章目录 【`S5PV210`】 | `GPIO`编程目录1.参考2.`DataSheet`2.1.概述2.1.1.特色2.1.2 输入/输出配置2.1.3 `S5PV210` 输入/输出类型2.1.4 IO驱动强度**2.1.4.1 类型A IO驱动强度****2.1.4.2 类型A IO驱动强度****2…

Windows电源管理调节-Powercfg命令应用

Windows电源管理调节 PowerCfg命令介绍 在Windows下我们使用 powercfg.exe命令 来控制电源计划(也称为电源方案),以使用可用的睡眠状态、控制单个设备的电源状态,以及分析系统中常见的能效和电池寿命问题。 语法 Powercfg 命令行使用以下语法: powercfg /option [arg…

使用WordPress在US Domain Center上建立多语言网站的详细教程

第一部分:介绍多语言网站 多语言网站是一种可以用多种语言呈现内容的网站。它能够满足不同国家或地区用户的语言需求,提升网站的用户体验和可访问性。在WordPress中,您可以轻松地创建一个多语言网站,并通过插件来管理多语言内容&…

Go 1.22 - 更加强大的 Go 执行跟踪

原文:Michael Knyszek - 2024.03.14 runtime/trace 包含了一款强大的工具,用于理解和排查 Go 程序。这个功能可以生成一段时间内每个 goroutine 的执行追踪。然后,你可以使用 go tool trace 命令(或者优秀的开源工具 gotraceui&a…

漏洞发现-漏扫项目篇Poc开发Yaml语法插件一键生成匹配结果交互提取

知识点 1、Nuclei-Poc开发-环境配置&编写流程 2、Nuclei-Poc开发-Yaml语法&匹配提取 3、Nuclei-Poc开发-BurpSuite一键生成插件 章节点: 漏洞发现-Web&框架组件&中间件&APP&小程序&系统 扫描项目-综合漏扫&特征漏扫&被动漏扫…

C语言经典算法-8

文章目录 其他经典例题跳转链接41.基数排序法42.循序搜寻法(使用卫兵)43.二分搜寻法(搜寻原则的代表)44.插补搜寻法45.费氏搜寻法 其他经典例题跳转链接 C语言经典算法-1 1.汉若塔 2. 费式数列 3. 巴斯卡三角形 4. 三色棋 5. 老鼠…

Flutter开发进阶之使用Socket实现主机服务(二)

Flutter开发进阶之使用Socket实现主机服务(二) Flutter开发进阶之使用Socket实现主机服务(一) 在完成局域网内设备定位后就可以进入微服务的实操了。 I、构建Socket连接池 一、定义Socket 使用socket_io_client socket_io_client: ^2.0.3+1导入头文件 import packag…

LiveGBS流媒体平台GB/T28181功能-HTTPS 服务支持配置开启什么时候需要开启HTTPS测试SSL证书配置HTTPS测试证书

LiveGBS功能支持HTTPS 服务支持配置开启什么时候需要开启HTTPS测试SSL证书配置HTTPS测试证书 1、配置开启HTTPS1.1、准备https证书1.1.1、选择Nginx类型证书下载 1.2、配置 LiveCMS 开启 HTTPS1.2.1 web页面配置1.2.2 配置文件配置 2、HTTPS测试证书3、验证HTTPS服务4、为什么要…

图书馆管理系统 2.后台系统管理模块编写

后端 1.实体类编写 用户实体类 package jkw.pojo;import com.baomidou.mybatisplus.annotation.TableField; import com.baomidou.mybatisplus.annotation.TableId; import lombok.Data;import java.io.Serializable; import java.util.List;/*** 用户*/ Data public class …

机器学习 - 选择模型

接着这一篇博客做进一步说明: 机器学习 - 准备数据 PyTorch moduleExplaintorch.nnContains all of the building blocks for computational graphs (essentially a series of computations executed in a particular way). nn 模块为用户提供了丰富的神经网络组件…

【理解机器学习算法】之分类问题的模型评估(ROC-AUC)

ROC曲线(接收者操作特性曲线)和AUC(曲线下面积)是在不同阈值设置下,用于分类问题的性能度量工具。下面是它们所代表的含义以及使用方法: ROC曲线 代表含义:ROC曲线是一个图形化的表示&#xf…

反射 Reflection

反射 反射的概念 反射机制允许程序在执行期借助于ReflectionAPI取得任何类的内部信息(比如成员变量,构造器,成员方法等等),并能操作对象的属性及方法。反射在设计模式和框架底层都会用到加载完类之后,在堆中就产生了一个Class类型…