一款全新的勒索病毒Hive來襲,已有企業中招
責編:gltian |2021-07-13 11:03:58
前言
Hive勒索病毒是一款全新的勒索病毒,筆者從6月26號開始關注這款全新的勒索病毒,知識星球相關信息,如下所示:
id-ransomware網站也更新了此勒索病毒的相關信息,如下所示:
該勒索病毒采用GO語言編寫,加密算法使用AES+RSA,同時這款勒索病毒也采用了“雙重”勒索的模式,通過在暗網上公布受害者數據,來逼迫受害者交納贖金,通過監控發現雖然這款勒索病毒出來不久,但是非常活躍。
詳細分析
該勒索病毒使用UPX加殼處理,脫殼之后,樣本采用GO語言編寫,相關的函數信息,如下所示:
生成RSA密鑰以及勒索提示信息內容,如下所示:
生成勒索提示信息文件HOW_TO_DECRYPT.txt,如下所示:
獲取內置的RSA公鑰信息,如下所示:
遍歷進程,結束相關進程,如下所示:
結束與數據庫相關的服務,如下所示:
自刪除操作,生成一個BAT文件hive.bat,進行自刪除操作,如下所示:
BAT文件內容,如下所示:
刪除磁盤卷影操作,如下所示:
遍歷磁盤并加密文件,如下所示:
清除內存中的密鑰信息,如下所示:
之前有一些勒索病毒可以在內存中搜索密鑰,然后通過找到的密鑰解密文件,這款勒索病毒擦除內存中的密鑰信息,也是為了防止這種解密方案,該勒索病毒會提示解密網站以及登錄的帳號和密碼,如下所示:
登錄之后,解密網站信息,如下所示:
6月14日左右,商業地產軟件解決方案公司Altus Group披露了相關的安全漏洞,隨后6月26日其數據被Hive在其網站上公布,如下所示:
不到一個月的時候,到目前為止該勒索病毒黑客組織已經公布了四家受害者企業的數據,如下所示:
可見這款勒索病毒的行動非常之快,未來可能還會有更多的受害者。
總結
勒索病毒現在越來越多了,而且不斷有新的組織加入到勒索病毒攻擊活動當中,不管是新型的勒索病毒黑客組織,還是已知的勒索病毒黑客組織都一直在尋找新的目標,從來沒有停止過發起新的攻擊,未來幾年勒索攻擊仍然是全球最大的安全威脅。
勒索病毒黑客組織使用的攻擊手法越來越多,也越來越復雜,未來這些勒索病毒黑客組織會越來越多,使用的手法會越來越復雜,APT攻擊技術被廣泛應用到了勒索攻擊當中。
來源:安全客