所謂食色性也,人之天性。尤其在這個春氣發動的季節裡,發情的不止動物。敏銳的黑客們也早已嗅到瀰漫在空氣裡的荷爾蒙,於是色情網站這一作戰區也跟著浮出水面。
近日,360安全大腦監測到有黑客通過色情網站傳播一種新的勒索病毒“CRYPTED!”。該病毒偽裝成“種子文件”,利用最新的WinRAR遠程代碼執行漏洞CVE-2018-20250下發勒索病毒,“潛伏”色情論壇,引誘用戶下載、解壓。據統計,在短短兩天時間裡國內已有數百臺計算機被攻擊。不過,廣大用戶無需擔心,360安全大腦已第一時間針對該勒索病毒進行了查殺。
圖1 “CRYPTED!”勒索病毒勒索信息
受害小夥哭訴“不敢看了,這種子有毒!
小黑是某公司職員,單身,下了班就是和幾個朋友侃侃大山、打打遊戲、再就默默看兩部小電影。這兩天從哥們那聽說有個視頻特別火,瞬間勾起了他身為男性的獵奇心裡。
“XX CEO的視頻!聽到這個勁爆消息後,他立馬在google搜索該視頻,然後就被搜索結果引導到一個youtube視頻中”,如下圖2所示:
圖2 google搜索該視頻
該視頻的說明引導他到了一個google雲盤中下載種子,如圖3所示。“講真,這樣的鏈接很司空見慣的,我也沒多想,直接點擊下載了。”小黑補充說道。可殊不知就是這樣的一次點擊下載,就已經把他帶入到黑客精心佈置的陷阱中。
圖3 google雲盤下載種子
因為該雲盤中存儲的就是此次的勒索病毒,如圖4所示。該病毒不僅惡意加密了小黑計算機文件,還向其勒索0.1比特幣贖金。真可謂是偷雞不成蝕把米,賠了夫人又折兵。
圖4
360安全大腦第一時間還原“案發現場”
360安全大腦第一時間監測並查殺了該病毒。此外,為了讓廣大用戶看清該病毒的真面目,360安全專家進一步對該病毒的攻擊過程及加密細節做了分析,還原了“案發現場”。
攻擊過程:
根據監測,此次實施攻擊的壓縮包文件名為“vid-2019037.zip”。壓縮包通過密碼“sex888”加密,解壓後包含一個名為“VID-2019037 Torrent.rar”的壓縮包以及一個ReadMe文件。從ReadMe文件中透露的信息看,壓縮包中存儲的是影片的種子文件以及預覽文件。
圖5 ReadMe文件中的提示信息
然而事實並非如此,“VID-2019037 Torrent.rar”實際上是一個利用WinRAR漏洞CVE-2018-2050的惡意壓縮包,該漏洞能導致解壓壓縮包時在任意目錄下寫入文件。當受害者解壓“VID-2019037 Torrent.rar”文件時,將在計算機啟動目錄下釋放一個名為WindowsUpdate.exe的文件,該文件就是“CRYPTED!”勒索病毒。
圖6 解析壓縮包的內容可以清晰看到CVE-2018-2050漏洞利用代碼
此外,ReadMe文件中聲稱的影片預覽文件“Preview_VID-2019037.scr”實際上也是“CRYPTED!”勒索病毒。黑客通過兩種不同方式誘導受害者運行勒索病毒,以確保攻擊成功率。
Torrent.rar”後得到的預覽文件“Preview_VID-2019037.scr”也是勒索病
加密細節
在加密文件類型的選擇上,黑客對辦公文檔、音視頻在內的57種文件類型下手。“CRYPTED!”勒索病毒加密的文件類型如下圖所示:
圖8 黑客加密的文件類型
黑客選擇的加密算法是速度較快的TEA加密算法,原始密鑰以資源的形式存儲在勒索病毒中。勒索病毒取出原始密鑰後,原始密鑰會與被加密文件文件名的首個字符進行異或運算後形成每個文件獨有的加密密鑰,對文件內容進行加密。
圖9 從資源中取出原始加密密鑰
圖10 原始密鑰與文件名進行異或運算生成每個文件獨有的加密密鑰
圖11 使用TEA加密算法加密文件
“罪惡種子”煙雲散,安全建議記心間
自WinRAR漏洞被曝光以來,利用該漏洞實施的攻擊層出不窮,帶有漏洞利用代碼的壓縮包也逐漸成為黑客首選的釣魚文件。
面對愈演愈烈的惡意攻擊,360安全大腦建議,廣大用戶可以通過以下幾點防禦黑客的攻擊:
1. 前往weishi.360.cn,下載並安裝360安全衛士,能有效攔截此類勒索病毒的攻擊。
2. 360高危漏洞免疫工具已第一時間集合WinRAR漏洞修復功能,及時下載並開啟高危漏洞免疫工具能保證計算機信息及財產安全。
3. 不要點擊不明壓縮包文件,建議您使用更安全的360壓縮,該軟件不受此次WinRAR漏洞的影響,並含有云安全引擎,壓縮包打開時可以自動掃描木馬,防止藏於壓縮包內的木馬作祟侵犯用戶隱私。
閱讀更多 360安全衛士 的文章
