一款全新的勒索病毒Hive来袭,已有企业中招

安全
Hive勒索病毒是一款全新的勒索病毒,该勒索病毒采用GO语言编写,加密算法使用AES+RSA,同时这款勒索病毒也采用了“双重”勒索的模式,通过在暗网上公布受害者数据,来逼迫受害者交纳赎金。

[[410569]]

前言

Hive勒索病毒是一款全新的勒索病毒,笔者从6月26号开始关注这款全新的勒索病毒,知识星球相关信息,如下所示:

id-ransomware网站也更新了此勒索病毒的相关信息,如下所示:

该勒索病毒采用GO语言编写,加密算法使用AES+RSA,同时这款勒索病毒也采用了“双重”勒索的模式,通过在暗网上公布受害者数据,来逼迫受害者交纳赎金,通过监控发现虽然这款勒索病毒出来不久,但是非常活跃。

详细分析

该勒索病毒使用UPX加壳处理,脱壳之后,样本采用GO语言编写,相关的函数信息,如下所示:

生成RSA密钥以及勒索提示信息内容,如下所示:

生成勒索提示信息文件HOW_TO_DECRYPT.txt,如下所示:

获取内置的RSA公钥信息,如下所示:

遍历进程,结束相关进程,如下所示:

结束与数据库相关的服务,如下所示:

自删除操作,生成一个BAT文件hive.bat,进行自删除操作,如下所示:

BAT文件内容,如下所示:

删除磁盘卷影操作,如下所示:

遍历磁盘并加密文件,如下所示:

清除内存中的密钥信息,如下所示:

之前有一些勒索病毒可以在内存中搜索密钥,然后通过找到的密钥解密文件,这款勒索病毒擦除内存中的密钥信息,也是为了防止这种解密方案,该勒索病毒会提示解密网站以及登录的帐号和密码,如下所示:

登录之后,解密网站信息,如下所示:


6月14日左右,商业地产软件解决方案公司Altus Group披露了相关的安全漏洞,随后6月26日其数据被Hive在其网站上公布,如下所示:

不到一个月的时候,到目前为止该勒索病毒黑客组织已经公布了四家受害者企业的数据,如下所示:

可见这款勒索病毒的行动非常之快,未来可能还会有更多的受害者。

总结

勒索病毒现在越来越多了,而且不断有新的组织加入到勒索病毒攻击活动当中,不管是新型的勒索病毒黑客组织,还是已知的勒索病毒黑客组织都一直在寻找新的目标,从来没有停止过发起新的攻击,未来几年勒索攻击仍然是全球最大的安全威胁。

勒索病毒黑客组织使用的攻击手法越来越多,也越来越复杂,未来这些勒索病毒黑客组织会越来越多,使用的手法会越来越复杂,APT攻击技术被广泛应用到了勒索攻击当中。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-07-14 10:54:35

勒索软件数据泄露网络攻击

2020-04-07 18:43:03

病毒勒索软件加密

2022-07-06 14:53:08

勒索软件网络攻击

2015-10-05 17:38:33

2021-09-14 14:55:17

REvil勒索软件网络攻击

2020-04-13 16:33:33

技术资讯

2015-08-14 14:05:54

宏病毒VBA宏病毒

2010-03-04 09:25:48

Ubuntu VMwa

2017-05-26 16:01:38

2019-04-14 18:17:43

2018-03-09 06:48:40

2020-05-10 17:06:10

勒索病毒攻击加密

2017-05-14 23:47:36

2011-09-05 15:20:59

2015-10-23 14:22:24

GNOME GamesGNOMELinux

2017-05-18 11:22:10

2009-02-12 15:34:00

杀毒软件木马病毒

2021-06-17 06:39:04

勒索攻击黑客网络安全

2011-01-04 09:20:00

2018-03-02 12:41:28

点赞
收藏

51CTO技术栈公众号