首页 > 问答 正文

【勒索预警】放假之前,EvaRichter勒索病毒来袭

时间:2023-10-20 作者:佚名

本文是小编为【勒索预警】放假之前,EvaRichter勒索病毒来袭撰写,不知道【勒索预警】放假之前,EvaRichter勒索病毒来袭的朋友可以通过下文了解:

目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多,大部分勒索病毒是无法解密的,并且不断有新型的勒索病毒出现,各企业一定要保持高度的重视,马上放假了,一款新型勒索病毒来袭……

近日国外某独立恶意软件安全研究人员曝光了一个新型的勒索病毒,如下所示:

然后有人回复说是EvaRichter勒索病毒,并给出了id-ransomware博客地址,如下所示:

这款勒索病毒之所以勾起我的兴趣,主要是它与之前的GandCrab、Sodinokibi、GermanWiper、NEMTY等勒索有某些类似之处,都将桌面壁纸修改成蓝色了,笔者通过MD5在app.any.run上找到了相应的样本,如下:

样本被人在24号上传到了VT上,依据上传的时间判断可能就是国外那个独立恶意软件研究员上传的,从app.any.run上下载样本,图标使用了类似微信的图标,如下所示:

运行之后,加密的文件后缀为随机文件,如下所示:

勒索病毒会修改桌面壁纸为蓝色,如下所示:

勒索提示信息文本文件[加密后缀随机名]_how_to_decrypt.txt,内容如下所示:

访问勒索病毒解密网址,如下所示:

输入勒索提示信息中的Access Code码之后,如下所示:

黑客的BTC钱包地址:14Biqrf2fryuGNDrMDPchPCQeEjzZkqaLi,勒索赎金七天之内为:0.1521163 BTC,如下所示:

最近BTC降了一点,我们按今天BTC的市价来算,如下:

等于0.1521163 X 8405.59 = 1278美元(七天之内解密的价格)

此勒索病毒同样采用了高强度的代码混淆技术,简单的反调试技术,核心的勒索病毒代码被多层封装起来了,通过动态调试,解密出外壳的封装代码,如下所示:

继续跟踪调试,最后解密出核心的勒索病毒代码,如下所示:

解密出完整的勒索病毒核心是一个PE文件,采用Delphi语言进行编写,如下所示:

查看入口代码,如下所示:

使用IDA查看字符串信息,里面包含勒索相关信息,如下所示:

此勒索病毒最后还会删除磁盘卷影副本等操作,如下所示:

从勒索病毒的核心代码,我发现这款勒索病毒与之前我分析过的一款新型的勒索病毒GermanWiper创建的互斥变量一模一样,都是HSDFSD-HFSD-3241-91E7-ASDGSDGHH,GermanWiper勒索病毒的核心代码同样是使用Delphi语言编写的,于是我将两款勒索病毒的核心Payload代码进行对比,如下所示:

代码相似度竟然高达82%,所以我觉得这款勒索病毒应该是GermanWiper最新变种,国外安全研究人员又取了一个名字叫:EvaRichter勒索病毒,还是按国外安全研究人员的名字命名吧

自从GandCrab勒索病毒于今年6月1 号,宣布停止运营之后,虽然后面再也没有见到过GandCrab的最新版本出现,然后它的影子似乎一直都在,比如现在比较流行的Sodinokibi勒索病毒,国外很多报道直指Sodinokibi与GandCrab有千丝万缕的关系,前面我就说过GandCrab勒索病毒虽然结束了,背后的运营团队只是宣布停止GandCrab勒索病毒的运营,它会不会继续运营其他勒索病毒家族呢?也许只是GandCrab勒索病毒的开发者不想开发了,它背后的运营团队会不会接着运营其它病毒呢?勒索病毒已经成为了黑产来钱最快的方式之一,大部分做黑产的不就是为了赚大钱吗?难怪会放弃这么好赚钱的机会?

GermanWiper勒索病毒上个月流行过一段时间,这款勒索病毒后面会不会大面积传播,需要持续的关注与跟踪,以前做黑产的都喜欢在放假的时候搞点事情,因为对于做黑产是没有休息日,而且越是放假,越容易搞一些活动,捆绑一些木马让用户主动下载,做黑产的为了搞钱,每天都在寻找不同的攻击目标,通过各种漏洞+恶意软件对目标进行攻击,获取暴利。

相信读者朋友经过小编一番耐心的解答已经对“【勒索预警】放假之前,EvaRichter勒索病毒来袭”已经有较深的了解,若还存在疑惑可通过站内搜索找到答案。

本文信息为网友自行发布旨在分享与大家阅读学习,文中的观点和立场与本站无关,如对文中内容有异议请联系处理。

本文链接:https://www.paituo.cc/ask/1153920.html

  • 小编推荐

    国庆重保之临时抱佛脚攻略

    本文讲述国庆重保之临时抱佛脚攻略,简介如下本文是小编为国庆重保之临时抱佛脚攻略撰写,不知道国庆重保之临时抱佛脚攻略的朋友可以通过下文了解:中秋佳节过后,马上又有国庆小长假,各行各业享受假期的同时,安全从...

    Phobos勒索软件变种分析报告 phobos勒索病毒caley

    本文讲述Phobos勒索软件变种分析报告,简介如下本文是小编为Phobos勒索软件变种分析报告撰写,不知道Phobos勒索软件变种分析报告的朋友可以通过下文了解: 一、概述近日,安天CERT在梳理网络安全事件时...

    俄罗斯多年前就已成功入侵加密的 多年前俄罗斯健美2

    本文讲述最新披露:俄罗斯多年前就已成功入侵加密的,简介如下本文是小编为最新披露:俄罗斯多年前就已成功入侵加密的撰写,不知道最新披露:俄罗斯多年前就已成功入侵加密的的朋友可以通过下文了解:根据雅虎新闻近日发布的一份深度报...

    黑客也翻车,储存窃取数据的数据库被曝光

    本文讲述黑客也翻车,储存窃取数据的数据库被曝光,简介如下本文是小编为黑客也翻车,储存窃取数据的数据库被曝光撰写,不知道黑客也翻车,储存窃取数据的数据库被曝光的朋友可以通过下文了解:一说起MongoDB数据库,大部分人...

    国家计算机病毒中心发布违规APP和SDK名单 国家计算机病毒中心主任

    本文讲述国家计算机病毒中心发布违规APP和SDK名单,简介如下本文是小编为国家计算机病毒中心发布违规APP和SDK名单撰写,不知道国家计算机病毒中心发布违规APP和SDK名单的朋友可以通过下文了解:国家计算机病毒中心发布违...

    17万“人脸数据”公开售卖被下架 人脸数据泄露

    本文讲述17万“人脸数据”公开售卖被下架,简介如下本文是小编为17万“人脸数据”公开售卖被下架撰写,不知道17万“人脸数据”公开售卖被下架的朋友可以通过下文了解:近日,北京青年报记者发现,在网络商城中有商家公开...

    揭秘地下黑客论坛最流行的恶意软件和黑客工具

    本文讲述揭秘地下黑客论坛最流行的恶意软件和黑客工具,简介如下本文是小编为揭秘地下黑客论坛最流行的恶意软件和黑客工具撰写,不知道揭秘地下黑客论坛最流行的恶意软件和黑客工具的朋友可以通过下文了解:通过对RecordedFu...

    近20年来唯一一次

    本文讲述港交所网站遭攻击:近20年来唯一一次,简介如下本文是小编为港交所网站遭攻击:近20年来唯一一次撰写,不知道港交所网站遭攻击:近20年来唯一一次的朋友可以通过下文了解: 综合各渠道消息称,港交所总裁李小加表示...