瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 公开勒索病毒代码,黑客是在搞笑吗?
麦青儿 - 2019-1-29 16:04:00
近日,瑞星安全专家在国内率先截获了一个病毒样本,由于其他安全厂商并未发布过该勒索病毒的分析报告,所以瑞星将该勒索病毒样本命名为“GoRansom”。通过分析病毒代码发现,病毒作者来自巴西,声称为了研究勒索病毒原理,居然轻易地将此病毒代码公开???这就意味着,一旦该勒索病毒被其他不法分子利用,将给社会造成非常大的危害。
瑞星安全专家称此病毒作者公开代码这个行为非常危险,该勒索病毒代码加密体系已经非常成熟。病毒作者还在两个月前更新了最新的代码,瑞星在2019年1月16号就捕获到了利用此源码生成的病毒exe程序。从捕获日期推测,已经有攻击者在研究测试该病毒。

图:病毒作者github主页


“GoRansom”勒索病毒采用Go语言开发,使用非对称算法加密文件,病毒运行后会加密指定文件,包括文档、图片、视频等格式文件,被加密文件会被追加上“.encrypted”后缀,然后在桌面释放勒索提示,用户支付赎金解锁文件。目前,瑞星ESM及瑞星之剑等产品均可对该病毒进行防御和查杀,避免用户文件被病毒加密。

图:瑞星ESM与瑞星之剑成功拦截截图


瑞星安全专家提醒广大用户,为了有效防御勒索病毒发起的攻击,建议做到以下几点:

病毒详细分析


“GoRansom”勒索病毒使用Go语言开发

图:病毒包含的Go语言信息


运行之后,随机生成用户编号和文件加密时将要用到的AES密钥,通过RSA算法加密密钥和用户编号,发送给控制服务器。

图:生成密钥和编号,加密发送给控制服务器


发送函数将密钥和编号拼凑后,调用加密函数

图:发送函数调用加密函数


加密函数将密钥和编号通过RSA算法加密,发给控制服务器

图:加密并发送


遍历文件准备加密

图:遍历文件


排除指定的文件夹

图:排除的文件夹


加密指定的后缀

图:加密的后缀


使用AES算法加密文件

图:使用AES算法加密文件


使用base64算法重命名被加密的文件的文件名,并追加上勒索后缀

图:重命名文件,追加上后缀


被修改后,后缀追加上.encrypted后缀

图:被加密的文件


病毒会将被加密文件的原文件名,存放在桌面LIST_OF_FILES.html文件中,用来给受害者展示哪些文件被加密。

图:被加密文件的原文件名


在桌面释放勒索信息文件README.html

图:释放勒索信息


勒索信打开后可以看到,攻击者要求受害者支付赎金,并通过文件中留下的邮箱地址联系攻击者,通过留下的比特币钱包地址支付赎金。

图:勒索提示信息

dg1vg4 - 2019-1-29 23:03:00
搞笑不至于搞笑,祸害社会倒是真的。


另外“由于其他安全厂商并未发布过该勒索病毒”可能是一个病句,后面应该加一个“的分析报告


以下为即兴段子:

据报道,巴西某程序员苦心钻研GO语言,成功开发出了GoRansom勒索病毒并进行开源,据瑞星安全专家介绍,这种勒索病毒加密体系已经非常成熟,填补了勒索病毒种类中没有Go语言版的空白,目前该程序员怎么样了?
天月来了 - 2019-1-31 9:23:00
历史上的一个小插曲而已
麦青儿 - 2019-1-31 14:48:00
谢谢,已反馈相关部门了。目前该程序员情绪稳定:kaka5:
dongwenqi850604 - 2019-2-1 19:01:00
加油,瑞星
1
查看完整版本: 公开勒索病毒代码,黑客是在搞笑吗?