[转]当勒索病毒“不图财”时会图什么?

Posted qksword

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[转]当勒索病毒“不图财”时会图什么?相关的知识,希望对你有一定的参考价值。

众所周知,勒索病毒通过加密受害人电脑里的重要文件来进行勒索,通常要求受害人支付比特币才能解锁文件,然而最近国外出现一款新型的勒索病毒PewCrypt,当受害人感染该病毒后,并不要求受害者支付金钱或比特币,而是……

 

  • 概述

众所周知,勒索病毒通过加密受害人电脑里的重要文件来进行勒索,通常要求受害人支付比特币才能解锁文件,最近国外出现一款新型的勒索病毒PewCrypt (由于加密后缀为PewCrypt所以我们命名其为PewCrypt勒索者),当受害人感染该病毒后,并不要求受害者支付金钱或比特币而是要求受害人订阅YouTube网站上的一个频道PewDiePie,当该频道订阅量达到一亿后作者才会公布解密工具,但是当另外一个频道T-Series的订阅量超过PewDiePie时,该勒索软件作者将不会公布相关解密工具。

 

根据查询发现,PewDiePie和T-Series两个频道在争夺YouTube网站第一订阅量的位置,可能是某些人为了获取更多的订阅量而编写并传播了该勒索病毒。截至发稿前PewDiePie频道的订阅量为87220671 ,T-Series频道的订阅量为87087817 。

技术图片

 

PewDiePie频道于2010年4月29日注册,位置显示位于美国,是一个制作搞笑、搞怪、创意视频的视频频道,截至目前共有3760个视频。

技术图片

 

T-Series频道于2006年3月13日注册,位置显示位于印度,是一个制作与印度相关的创意音乐视频的视频频道,截至目前共有13154个视频。

技术图片

 

  • 样本分析

PewCrypt勒索者是一款用Java语言编写的勒索病毒软件,运行后会使用AES+RSA算法对文件进行加密,截止目前无法对加密后的文件进行解密。

病毒加密流程如下:

技术图片

 

病毒首先获取指定目录路径,指定加密目录如下:

技术图片

 

然后遍历指定加密目录下文件的绝对路径并保存到列表中。

技术图片

 

生成32字节的随机数并转化为256位的AES密钥,使用的加密算法为AES/ECB/PKCS5Padding。

技术图片

 

对前面获得的文件路径进行判断,如果后缀为".PewCrypt", ".exe", ".jar",".dll"则不进行加密,其他类型的文件均会被加密。加密前会判断文件是否存在,文件是否可读可写,文件大小是否小于19M,如果是就开始进行加密,使用上面生成的256位AES密钥进行加密,加密后会覆盖原文件并加上后缀".PewCrypt"。

技术图片

 

使用RSA加密算法对前面用于加密文件的256位AES密钥进行加密。

技术图片

 

加密后的密钥内容保存到病毒所在目录并命名为AES.key。

技术图片

 

勒索提示窗口会不断对YouTube网站进行访问获取PewDiePie频道和T-Series频道最新的的订阅量并显示出来。

技术图片

 

最后显示窗口警示:你的文件已经被加密,需要去YouTube上订阅频道PewDiePie,频道订阅量达到一亿后作者才会发布解密工具,但如果另外一个频道T-Series的订阅量超过了PewDiePie频道,作者将永远不会公布解密工具。

技术图片

 

  • 查杀与防御

目前360天擎、360安全卫士均能查杀此类勒索病毒。

技术图片

 

防护建议:

1.不要随意下载和运行不信任的软件,避免打开恶意软件。

2.在设置电脑密码时应使用相对复杂的密码,防止黑客通过弱口令进行渗透和传播病毒。

3.安装必要的安全软件进行防护。

IOC

MD5

PewCrypt.exe:903f9076aadc67938aed2929cc051d53

以上是关于[转]当勒索病毒“不图财”时会图什么?的主要内容,如果未能解决你的问题,请参考以下文章

Mac IOS系统勒索病毒解密 苹果系统勒索病毒恢复

中了勒索病毒能恢复吗

电脑文件被勒索病毒改成ctbopst,而且有个readme文件,有没有啥办法?

devos勒索病毒解决方法|勒索病毒解密|勒索病毒恢复|数据库修复

勒索病毒通过哪个端口传播

勒索病毒解锁要多少钱