-
-
[原创]一款全新的勒索病毒Hive来袭,已有企业中招
-
发表于: 2021-7-9 08:23 4414
-
前言
Hive勒索病毒是一款全新的勒索病毒,笔者从6月26号开始关注这款全新的勒索病毒,知识星球相关信息,如下所示:
id-ransomware网站也更新了此勒索病毒的相关信息,如下所示:
该勒索病毒采用GO语言编写,加密算法使用AES+RSA,同时这款勒索病毒也采用了“双重”勒索的模式,通过在暗网上公布受害者数据,来逼迫受害者交纳赎金,通过监控发现虽然这款勒索病毒出来不久,但是非常活跃。
详细分析
该勒索病毒使用UPX加壳处理,脱壳之后,样本采用GO语言编写,相关的函数信息,如下所示:
生成RSA密钥以及勒索提示信息内容,如下所示:
生成勒索提示信息文件HOW_TO_DECRYPT.txt,如下所示:
获取内置的RSA公钥信息,如下所示:
遍历进程,结束相关进程,如下所示:
结束与数据库相关的服务,如下所示:
自删除操作,生成一个BAT文件hive.bat,进行自删除操作,如下所示:
BAT文件内容,如下所示:
删除磁盘卷影操作,如下所示:
遍历磁盘并加密文件,如下所示:
清除内存中的密钥信息,如下所示:
之前有一些勒索病毒可以在内存中搜索密钥,然后通过找到的密钥解密文件,这款勒索病毒擦除内存中的密钥信息,也是为了防止这种解密方案,该勒索病毒会提示解密网站以及登录的帐号和密码,如下所示:
登录之后,解密网站信息,如下所示:
6月14日左右,商业地产软件解决方案公司Altus Group披露了相关的安全漏洞,随后6月26日其数据被Hive在其网站上公布,如下所示:
不到一个月的时候,到目前为止该勒索病毒黑客组织已经公布了四家受害者企业的数据,如下所示:
可见这款勒索病毒的行动非常之快,未来可能还会有更多的受害者。
总结
勒索病毒现在越来越多了,而且不断有新的组织加入到勒索病毒攻击活动当中,不管是新型的勒索病毒黑客组织,还是已知的勒索病毒黑客组织都一直在寻找新的目标,从来没有停止过发起新的攻击,未来几年勒索攻击仍然是全球最大的安全威胁。
勒索病毒黑客组织使用的攻击手法越来越多,也越来越复杂,未来这些勒索病毒黑客组织会越来越多,使用的手法会越来越复杂,APT攻击技术被广泛应用到了勒索攻击当中。
针对Sodinokibi黑客组织供应链攻击Kaseya VSA的分析溯源
Sodinokibi(REvil)黑客组织发起大规模供应链攻击
安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
如果想了解最新的勒索病毒以及勒索攻击最新的威胁情报,可以加入笔者的勒索病毒专题知识星球。
赞赏
- 2023年度总结 18178
- [原创]研究多态恶意软件,探讨网络安全与AI 6413
- 服务器被黑,安装Linux RootKit木马 13533
- 关于勒索病毒你不得不懂的知识点 13990
- 针对Uber被黑客攻击事件的简单分析 11771