该病毒会检测列表中的计算机文件夹是否开起共享,如果是,病毒就会将自身复制到自启动的文件夹中“AppDataRoamingMicrosoftWindowsStart MenuProgramsStartu
最近我们安全团队的研究员截获了一个最近风头正劲的勒索病毒,为了不让我们的用户吃亏,我们趁着热乎劲儿把它分析查杀了。这是个十分有趣的勒索病毒,属于Rakhni勒索病毒家族的最新变种,但它会根据受害者电脑的配置来决定获利的手段:是让你被勒索呢?还是让你给我挖矿(赚取虚拟币)呢?
勒索病毒,顾名思义一定是掌握了“人质”并以此要挟赎金的一种病毒,这种病毒的制作者会先加密受害者计算机上的文件,然后以解密为条件向受害者索要赎金。挖矿病毒则主要通过侵占用户电脑CPU,利用他人电脑替自己挖取虚拟货币获利,中了这种病毒的主要症状是电脑卡慢。
最近一年,以上两种病毒已经成为侵害用户计算机的两个头号罪犯,随便哪一个都会对用户使用计算机造成极大的影响,并且都制作成本较小,对广大用户进行无差别攻击,而且都涉足了虚拟货币。
对于病毒制作者来说,欲望的沟壑是不会被填满的,勒索病毒虽然来势汹汹,但很多情况下受害者会由于赎金太高或被锁文件不重要而放弃解密,而这次的病毒制作者想出了解决方法。他们在勒索病毒里植入了挖矿病毒,先分析电脑配置和其中的文件,再“因材施教”决定投毒种类。
拜金勒索病毒是这样给受害者下套的
此类勒索病毒开始先通过“鱼叉式钓鱼邮件”进行传播,病毒制作者会给潜在受害者发一封带有微软Word文档附件的邮件,并且会诱导受害者打开并编辑这个文档。这个文档包含一个PDF格式的图标,用户一旦点击就会显示一个对话框:询问用户是否同意程序在计算机上执行。但病毒在背地里其实已经开始运行反抗杀软和沙盒检查的程序,用来检测自己能否成功侵占受害者电脑。一旦发现条件允许,病毒就会开始考量你的“经济实力”。
拜金病毒是这样决定投什么毒的
病毒大致的行为逻辑依下图所示:
1. 投勒索病毒:
病毒运行后会先检查受害者计算机中是否有与比特币相关的文件,如果有那么很有可能你是个比特币玩家,那么病毒就会对一系列文件进行加密,加密后文件后缀会被改为“.neitrino”。
病毒使用RSA-1024加密算法对文件进行加密,解密文件所需的信息通过电子邮件发送给攻击者的邮箱:mr.anders@protonmail.com。该病毒还会在每个被加密的文件所在文件夹中创建一个名为“MESSAGE.txt”的提示文件,以此提示受害者如何交赎金解密。
2. 投挖矿病毒:
如果你不玩比特币,那么恭喜你,到了考验你电脑配置的时刻了!病毒会检测你的电脑是否配置有至少两个逻辑处理器,如果有就会出发挖矿病毒,利用受害者电脑帮病毒制作者获取门罗币Monero(XMR),Monero Original(XMO),和达世币Dashcoin(DSH)。
3. 投蠕虫病毒:
如果你既不玩比特币,电脑配置还没被病毒看上,但你对于病毒制作者来说也是不能被浪费的“资源”,一穷二白的你还可以当传染源啊。这时的病毒会尝试将自身复制到本地网络中的其他计算机上:
调用系统命令“net view / all”,检测出所有包含共享资源的计算机,列出列表生成一个“list.log”文件。该病毒会检测列表中的计算机文件夹是否开起共享,如果是,病毒就会将自身复制到自启动的文件夹中
“AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup”
拜金病毒还城府颇深
这个勒索病毒可不是只有图财这么简单,研究员发现,在此病毒感染受害者电脑的同时会给病毒制作者发送一些信息,这些信息包含了受害者电脑正在运行的程序和感染时受害者电脑屏幕的截图。这一细节细思极恐,这意味着病毒制作者对你使用电脑做什么一清二楚,万一当时你正在做什么隐秘而重要事,那后果不堪设想。
360安全卫士已支持查杀
有了之前我们和各种勒索病毒、挖矿病毒的“神仙打架”,对付这种组合拳我们也早有准备,目前360安全卫士已可对此病毒完美查杀!
360安全卫士下载地址:
https://down.360safe.com/inst.exe