最新病毒庫日期:
  • “Syrk”勒索病毒瞄準游戲行業,偽裝外掛謀取巨額贖金
2019-08-26 10:08 來源:未知
【文章摘要】1 惡意代碼概況 近期江民赤豹網絡安全實驗室跟蹤捕獲一款名為Syrk的開源勒索軟件,該勒索軟件針對《堡壘之夜》游戲玩家,通過偽裝成自動瞄準的外掛程序誘導游戲玩家下載安裝,最

1 惡意代碼概況

近期江民赤豹網絡安全實驗室跟蹤捕獲一款名為“Syrk”的開源勒索軟件,該勒索軟件針對《堡壘之夜》游戲玩家,通過偽裝成自動瞄準的外掛程序誘導游戲玩家下載安裝,最終加密受害者的磁盤文件實現勒索目的,由于該游戲玩家眾多,因此受到該勒索軟件的影響范圍較大,江民網絡安全實驗室第一時間對捕獲的樣本進行了詳細分析,發現該勒索軟件具有較大缺陷,因此可以在不繳納贖金的情況下進行解密,江民赤豹網絡安全實驗室提醒廣大游戲用戶謹慎使用游戲輔助工具,安裝防病毒軟件并保持更新病毒庫的習慣,防止遭受惡意代碼的攻擊。

 

2 惡意代碼信息

名稱:Syrk勒索軟件

類型:勒索軟件

MD5:da6b7ddd28dc387bcd10b180c9bdff58

SHA1:c29cd8c4370576afb63deea020bcafd8c0638de0

文件類型:Win32 EXE

文件大?。?2849152 bytes

傳播途徑:偽裝正常文件下載傳播、USB感染傳播

影響系統:Win7,Win8,Win10
 

3 惡意代碼危害

《堡壘之夜》是一款在國內外十分受歡迎的射擊類游戲,該系列游戲已有超過2.5億的注冊玩家數量,該游戲在國內由騰訊代理,其熱度幾乎能與《絕地求生》游戲相媲美。

“Syrk”勒索病毒主要通過AES加密算法加密用戶特定類型的文件,偽裝游戲外掛誘導下載執行,“Syrk”還會嘗試感染USB驅動器擴大傳播。“Syrk”會修改系統注冊表,釋放的cry.ps1腳本,加密過程中使用標準AES算法對指定類型的文件進行加密,加密密鑰使用硬編碼寫在powershell文件中,加密文件會添加后綴.Syrk;主程序中還會監視用戶是否啟動了Taskmgr、Procmon64、ProcessHacker三個進程,阻止用戶啟動相關的進程管理工具檢查并結束勒索軟件進程。

Syrk每兩個小時刪除一次文件來誘騙用戶盡快支付贖金,啟動釋放的文件之后,主程序直接彈出勒索提示,要求用戶在2個小時之內聯系[email protected]進行付費解密操作。

 

4 應對措施及建議

1)不從互聯網下載可疑的程序執行;

2)使用USB設備前檢查拷貝的文件是否正常;
 

5 文件解密方法

研究人員發現,此勒索樣本存在較多缺陷,通過簡單操作可以進行解密,無需交付贖金,解密方法如下:

方法一:

由于此樣本僅僅使用了AES對稱加密算法進行加密,且密鑰直接以明文方式硬編碼在powershell腳本中,且解密腳本也嵌入在資源節中,因此最簡單的方式就是直接將資源中的解密工具復制出來雙擊即可解密;

 

 

 

方法二:

由于惡意代碼在編寫過程中的缺陷導致所要求的密碼也存放在了本地,可以通過C:\Users\Default\AppData\Local\Microsoft\-pw+.txt找到密碼實現解密,輸入密碼后即可正常實現文件解密過程;

 

 

 


詳細分析報告請訪問:

http://www.1728542.live/download/Syrk.pdf

 

甘肃11选5玩法技巧