自上个月勒索病毒爆发之后,众多病毒作者从中看到商机:以敲诈勒索为手段牟利的病毒隔三差五就有新的出来。金山毒霸安全实验室周末就截获一个新的勒索病毒:绿帽子病毒,该病毒假冒游戏外挂传播,一旦运行,会立刻弹出敲诈勒索的画面。
图1赤裸裸在病毒主界面留下联系方式挺脑残的,就不怕JCSS敲门吗?
电脑随后会自动重启,且重启后只显示黑屏和一个联系QQ号。
图2绿帽子病毒感染后的开机重启画面,绿字为受害者需要输入的解锁密码,正确就能继续启动
开机显示黑屏,原因是病毒破坏了硬盘主引导记录(MBR),用磁盘编辑器查看MBR发现已被修改:
图3病毒改写了硬盘主引导记录(MBR)
分析发现该病毒盗用了暴风公司的数字签名:
图4绿帽子病毒盗用暴风公司的数字签名
查看证书属性,发现已被注销,可能暴风公司已发现签名被盗用。
金山毒霸安全实验室加到绿帽子官方群,想去看个究竟,发现群里共享的恶意软件还不少。
图5绿帽子群共享的恶意软件
还有其他网络犯罪教程在群里传播
图6绿帽子群通过群公告传播网络犯罪教程
试下加作者QQ解锁硬盘,作者嚣张的报出自己的支付宝号:
图7加绿帽子作者QQ,果然被勒索
图8绿帽子作者支付宝号
绿帽子病毒作者水平并不高,病毒代码中有自己的邮箱帐号密码,霸哥顺手进了绿帽子邮箱,把解密邮件顺手下载,发现受害者有33个了。霸哥拿走了解锁密码文件,需要的同学可以在这里下载。
