毒霸预警:勒索病毒成致富经 绿帽子病毒跟风锁硬盘

2017-07-02 来源:金山毒霸安全实验室作者:金山毒霸安全实验室

      自上个月勒索病毒爆发之后,众多病毒作者从中看到商机:以敲诈勒索为手段牟利的病毒隔三差五就有新的出来。金山毒霸安全实验室周末就截获一个新的勒索病毒:绿帽子病毒,该病毒假冒游戏外挂传播,一旦运行,会立刻弹出敲诈勒索的画面。

1

(图1 裸在病毒主界面留下联系方式挺脑残的,就不怕JCSS敲门吗?

         电脑随后会自动重启,且重启后只显示黑屏和一个联系QQ号。

(图2 绿帽子病毒感染后的开机重启画面,绿字为受害者需要输入的解锁密码,正确就能继续启动)

          开机显示黑屏,原因是病毒破坏了硬盘主引导记录(MBR),用磁盘编辑器查看MBR发现已被修改:

3

                             (图3 毒改写了硬盘主引导记录(MBR)

       分析发现该病毒盗用了暴风公司的数字签名:

(图4 绿帽子病毒盗用暴风公司的数字签名)

       查看证书属性,发现已被注销,可能暴风公司已发现签名被盗用。

       金山毒霸安全实验室加到绿帽子官方群,想去看个究竟,发现群里共享的恶意软件还不少。

5

        (图5 绿帽子群共享的恶意软件

       还有其他网络犯罪教程在群里传播

                        (图6 绿帽子群通过群公告传播网络犯罪教程)   

          试下加作者QQ解锁硬盘,作者嚣张的报出自己的支付宝号:13383125456

                            (图7 加绿帽子作者QQ,果然被勒索)

                               (图8 绿帽子作者支付宝号)

       绿帽子病毒作者水平并不高,病毒代码中有自己的邮箱帐号密码,霸哥顺手进了绿帽子邮箱,把解密邮件顺手下载,发现受害者有33个了。霸哥拿走了解锁密码文件,需要的同学可以在这里下载。

       https://pan.baidu.com/s/1gfraAjT   提取码ruxg
                            

      这个病毒,金山毒霸可以完美防御。只要网友不要按外挂网站的提示关闭杀毒软件就好。

9
(图9 金山毒霸可以拦截绿帽子病毒传输)

10

(图10 绿帽子病毒破坏MRB被拦截)

另:       

       绿帽子病毒除了感染Windows电脑,也有感染安卓手机的版本,同样是锁手机后加QQ敲诈钱财。

       在国家网络安全法已经实施的情况下,还有病毒作者锁别人电脑拿支付宝收钱,这货是真没把国家法律放在眼里啊,期待JCSS请这个病毒作者去喝茶。