鑫迪建站系统,青海中小企业网站建设,上海建站中心,行业自建网站前言
笔者在某恶意软件沙箱平台分析样本的时候#xff0c;发现了一款比较有意思的勒索病毒MiniWorld迷你世界勒索病毒#xff0c;它的解密界面与此前的WannaCry勒索病毒的界面相似#xff0c;应该是作者仿冒的WannaCry的UI#xff0c;如下所示#xff1a; 这款勒索病毒既…前言
笔者在某恶意软件沙箱平台分析样本的时候发现了一款比较有意思的勒索病毒MiniWorld迷你世界勒索病毒它的解密界面与此前的WannaCry勒索病毒的界面相似应该是作者仿冒的WannaCry的UI如下所示 这款勒索病毒既然要求受害者从指定的网站上购买Minecraft Java Editon购买网站的链接https://www.minecraft.net/zh-hans/store/minecraft-java-edition如下所示 勒索病毒要求受害者购买指定的游戏这也算是一种新的勒索方式了此前笔者跟踪过一款绝地求生勒索软件受害者需要通过玩游戏解锁文件现在这款新型的迷你世界勒索病毒竟然直接要求受害者购买Minecraft这款游戏通过样本关联追踪到这款勒索病毒的母体程序程序名为迷你世界如下所示 通过分析样本的上传信息显示为CN猜测在7月16号左右应该已经有国内用户中招了如下所示 从恶意软件平台下载这款勒索病毒的母体程序发现这个母体程序还带有相关的数字签名如下所示 这个证书的有效期从2021/7/14到2040/1/1如下所示 同时这个母体会释放相应的更新程序从网站上下载游戏的更新包程序更新包程序信息如下所示 通过上面的初步分析发现这款勒索病毒有点意思笔者决定详细跟踪分析一下看看这款新型勒索病毒究竟做了什么它又为什么要推广这款游戏呢 分析
对母体样本和勒索病毒样本进行详细分析相关的行为特征如下所示 母体程序会在TEMP目录下生成相关的病毒程序和游戏更新程序如下所示 通过分析显示这几个程序都是使用PureBasic编写的这款勒索病毒主要功能主要通过执行核心的三个BAT脚本来完成详细分析过程笔者就省略了读者可以自己去摸索恶意软件逆向分析是一项很有趣但又需要花费很多时间和精力去做的事情通过分析母体程序BAT脚本内容如下所示 这个脚本主要功能就是生成勒索病毒程序和启动程序然后将启动程序设置为自启动如下所示 启动程序BAT脚本内容如下所示 这个脚本的主要功能就是启动游戏更新程序然后再执行勒索病毒游戏更新程序如下所示 下载上面的游戏更新包如下所示 勒索病毒BAT脚本删除磁盘数据如下所示 修改指定目录下的文件修改后的文件后缀名为MCNB并修改权限如下所示 在各个磁盘下面生成勒索病毒解密程序RecoveryYourFiles.exe的备份以及勒索病毒提示文件readme.txt的备份如下所示 将启动程序设置为新的自启动项程序如下所示 设置的自启动项如下所示 最后执行勒索解密提示程序弹出勒索解密界面该勒索病毒基本上就分析完成了。 总结
通过详细分析这款新型的勒索病毒主要功能就是删除了磁盘的文件然后修改了一些指定目录下的文件和文件夹权限等并没有什么机制来还原这些文件仅仅是为了骗取受害者购买安装游戏这也算是一种新型的勒索方式算不算诈骗呢至于这款勒索病毒为什么要受害者去购买Minecraft游戏通过这款新型的勒索病毒来推广世界游戏可能需要迷你世界游戏公司自己去内部排查了就不瞎猜测了嘿嘿。 同时笔者发现这款新型的迷你世界勒索病毒的黑客邮件地址为helpmanagerairmail.cc如下所示 这个邮箱地址与旧版的STOP勒索病毒的黑客邮件地址一样这难倒是一种巧合还是这款勒索病毒的作者有意而为之从笔者目前分析的结果来看这款勒索病毒除了留的黑客邮箱地址与STOP勒索病毒的旧邮箱地址相同以外没有任何证据显示这款勒索病毒背后的黑客团伙与STOP勒索病毒背后的黑客团伙有任何关系也许仅仅是为了迷惑安全分析人员也许是为了栽脏STOP勒索病毒想让STOP勒索病毒背后的黑客团伙来背锅哈哈哈哈STOP勒索病毒是一款非常流行的勒索病毒主要通过捆绑其他破解软件、游戏辅助程序、一些常用软件等渠道进行传播最近一两年STOP勒索病毒通过捆绑KMS激活工具进行传播以及其他一些防病毒软件等到目前为止此勒索病毒一共有一百多个不同的加密变种此前Emsisoft公司发布过一款解密工具可以解密大多数变种不过STOP一直在更新最新的版本暂时无法解密笔者跟踪到的最新的STOP勒索病毒加密后的文件后缀名为gujd黑客的邮箱地址已经更新为managermailtemp.ch、managerhelperairmail.cc。 勒索病毒现在越来越多了而且不断有新的组织加入到勒索病毒攻击活动当中不管是新型的勒索病毒黑客组织还是已知的勒索病毒黑客组织都一直在寻找新的目标从来没有停止过发起新的攻击未来几年勒索攻击仍然是全球最大的安全威胁。
