最后执行勒索解密提示程序,弹出勒索解密界面,该勒索病毒基本上就分析完成了。
威胁情报HASH
08684A98326E5E871EE7832859FF16DA
15F71F76E53975F8276B6736741342F3
0AD083F1AB7F60A008B32B061585CD30
A8B1F3A1FF16FACAB894394044460A67
DE756B93882386B7EF059489D1E56CA0
73BD542373E567ABEEE1E71EB62670B1
7866A5A1582F206546BF8C8C89F74671
E9B7F5E881A2ACEDAED2AB8A383AE868
B5688F193F0C5EF130C423EB422B012F
通过详细分析这款新型的勒索病毒,主要功能就是删除了磁盘的文件,然后修改了一些指定目录下的文件和文件夹权限等,并没有什么机制来还原这些文件,仅仅是为了骗取受害者购买安装游戏,这也算是一种新型的勒索方式,算不算诈骗呢?至于这款勒索病毒为什么要受害者去购买minecraft游戏,通过这款新型的勒索病毒来推广minecraft游戏,可能需要迷你世界游戏公司自己去内部排查了,就不瞎猜测了,嘿嘿。
同时笔者发现这款新型的迷你世界勒索病毒的黑客邮件地址为:helpmanager@airmail.cc,如下所示:
这个邮箱地址与旧版的STOP勒索病毒的黑客邮件地址一样,这难倒是一种巧合,还是这款勒索病毒的作者有意而为之,从笔者目前分析的结果来看,这款勒索病毒除了留的黑客邮箱地址与STOP勒索病毒的旧邮箱地址相同以外,没有任何证据显示这款勒索病毒背后的黑客团伙与STOP勒索病毒背后的黑客团伙有任何关系,也许仅仅是为了迷惑安全分析人员,也许是为了栽脏STOP勒索病毒,想让STOP勒索病毒背后的黑客团伙来背锅,哈哈哈哈,STOP勒索病毒是一款非常流行的勒索病毒,主要通过捆绑其他破解软件、游戏辅助程序、一些常用软件等渠道进行传播,最近一两年STOP勒索病毒通过捆绑KMS激活工具进行传播,以及其他一些防病毒软件等,到目前为止,此勒索病毒一共有一百多个不同的加密变种,此前Emsisoft公司发布过一款解密工具,可以解密大多数变种,不过STOP一直在更新,最新的版本暂时无法解密,笔者跟踪到的最新的STOP勒索病毒,加密后的文件后缀名为:gujd,黑客的邮箱地址已经更新为:manager@mailtemp.ch、managerhelper@airmail.cc。
勒索病毒现在越来越多了,而且不断有新的组织加入到勒索病毒攻击活动当中,不管是新型的勒索病毒黑客组织,还是已知的勒索病毒黑客组织都一直在寻找新的目标,从来没有停止过发起新的攻击,未来几年勒索攻击仍然是全球最大的安全威胁。
