前言概述

2020年勒索病毒攻擊仍然是網絡安全的最大威脅，在短短三個月的時間里，已經出現了多款新型的勒索病毒，關于2020年勒索病毒攻擊新趨勢，可以閱讀筆者寫的上一篇文章，里面有詳細的分析，從目前觀察到的情況，2020年勒索病毒的攻擊已經比2019更加頻繁，更多黑客組織發現挖礦帶來的收益太慢了，都紛紛加入到勒索病毒攻擊活動中，通過勒索病毒快速獲取暴利，此前由于新冠病毒疫情的爆發，一些黑客組織通過新冠病毒來傳播各種惡意軟件，其中包含AZORult等間諜竊密軟件，利用新冠病毒疫情傳播的這些惡意軟件都是俄羅斯地下網絡論壇中最為常見的一些惡意軟件，前不久國外研究人員還發現有一款手機勒索病毒CovidLock利用新冠疫情傳播，隨著新冠病毒在國外越來越嚴重，黑客組織會不會持續利用疫情傳播各種惡意軟件，需要持續關注

最近國外安全研究人員公布了一款以“冠狀病毒“為主題的勒索病毒，這款勒索病毒會修改系統MBR，會修改受害者主機磁盤名為CoronaVirus，同時生成的勒索提示信息文件為CoronaVirus.txt，勒索提示信息內容顯示會全天候接受美國大選的捐款，研究發現這款新型的勒索病毒主要通過假冒Windows系統實用程序網站WiseCleaner.com進行傳播，黑客假冒的網站地址：wisecleaner.best，受害者從這個網站會下載安裝惡意程序，該惡意程序會從遠程服務器上下載釋放Kpot竊密木馬和CoronaVirus勒索病毒，KPot竊密木馬會收集盜取受害者Web瀏覽器帳號和密碼、通信軟件、VPN、FTP、電子郵件帳戶、游戲帳戶以及虛擬貨幣登錄憑據等數據，收集的這些數據可以用于在暗網中出售獲利，也可以用于后期進行更進一步的滲透攻擊活動，比方利用收集到的這些數據進行APT攻擊活動等，同時還可以通過公布這些數據來逼迫受害者交付贖金，其實從2019年年底開始，筆者已經監控到好幾個勒索病毒黑客組織已經開始使用“盜竊+勒索”的方式進行攻擊，這些勒索病毒黑客組織在使用勒索病毒攻擊加密受害者數據的同時會使用竊密木馬盜取客戶的數據，為什么黑客組織會這樣？

企業數據安全是企業以及安全廠商關注的重點，黑客贏利的主要手段也是針對企業數據進行盜取或破壞，對企業數據進行盜取主要是通過各種竊密木馬，遠控木馬進行攻擊，主要使用的手段就是垃圾郵件、網絡釣魚、水坑攻擊、供應鏈攻擊等方式，通過企業安全意識最薄弱的人員入手，一步一步滲透到企業內網，植入竊密遠控等木馬進行數據竊取，這種攻擊行為就現在很多安全企業宣傳的APT攻擊組織行為，其實還有一類就是對企業的數據進行破壞的攻擊，最近幾年增加最快的就是勒索病毒，這種攻擊行為以前主要是黑客組織追求利益，通過加密勒索受害者BTC，未來可能會在國與國之前利用這種病毒進行網絡戰爭，勒索病毒或破壞性病毒會成為未來網絡戰的攻擊武器之一、勒索病毒使用的技術已經朝著三個方向發展：復雜性、針對性、多元性，未來勒索病毒將不僅僅是黑客組織謀利的主要手段之一，同時也會成為未來網絡安全戰的核心武器之一，針對敵對國家的一些重要的基礎設施和網絡設備發起勒索病毒攻擊，同時基于安全性的考慮未來更多的企業會將數據存儲到云上，所以黑客的目標會轉向針對云計算機服務器發起攻擊，云計算將是黑客組織的下一個重點目標，同時未來會有更多新型的竊密木馬家族出現，通過各種竊密木馬收集企業數據，為后期發起APT攻擊作準備，事實上黑客組織每天都在更新自己的惡意軟件武器庫，研究新的網絡攻擊武器和攻擊手法，更多詳細的內容，筆者后面有空再給大家寫一篇文章介紹，安全永遠在路上，很多安全從業人員說做安全是走上了一條“不歸路”，其實是這樣的，當你決定做安全的那一刻起，就需要堅持，堅持，再堅持，選擇安全，就是選擇了永不停歇，選擇安全，就是要有決戰到底的信念，安全沒有終點，就是需要持續不斷的去研究，研究新的漏洞、研究新的惡意軟件、研究新的黑客組織活動、研究新的攻擊手法、這就是安全的根本與核心，我們要明白做安全的真正的對手就是那些黑客組織里面研究這些的人，只是黑客的目標是為了獲取暴利，通過攻擊受害者獲利，做安全是為了保護受害者，幫助受害者減少損失，防止被黑客組織攻擊，安全永遠是人與人的斗爭，人就是最大的安全因素，因為總有人想通過手段快速獲取暴利，所以要么就不要做安全，要做就只能做到底!

詳細分析

筆者對CoronaVirus勒索病毒進行了分析，Kpot竊密木馬分析后面有空再分享給大家

1.樣本采用了反-反匯編技術，防止安全分析人員對樣本進行靜態分析，如下所示：

對反-反匯編代碼進行處理之后，如下所示：

2.解密出字符串CoronaVirus，如下所示：

3.創建相應的注冊表信息，如下所示：

創建之后，里面包含BTC錢包地址，郵箱地址等，如下所示：

黑客的郵箱地址：coronaVi2022@protonmail.ch

BTC錢包地址：

bc1q5e8pwyk9rqtq400agngmq5h23cuz42x0wlqw3q

4.拷貝自身到臨時目錄下jvbt.exe，如下所示：

5.創建線程，啟動臨時目錄下勒索病毒副本程序，如下所示：

6.通過ShellExecuteExW執行勒索病毒，如下所示：

7.遍歷本地磁盤目錄文件，并創建線程，加密文件，如下所示：

8.遍歷網絡共享目錄文件，并創建線程，加密文件，如下所示：

9.創建線程，加密文件，如下所示：

10.加密后的文件名被修改為

coronaVi2022@protonmail.ch___+[源文件名]，相關代碼，如下所示：

加密后的文件名，如下所示：

11.生成勒索提示文件CoronaVirus.txt，內容如下所示：

13.該勒索病毒還會修改系統MBR，修改之后，如下所示：

在2020年過去的三個月里，新冠病毒這場突如其來的疫情給全球都帶來了或多或少的影響和變化，現在國外新冠疫情比較嚴重，這場疫情什么時候能在全球范圍內完全結束，可能還需要一段時間，由于新冠疫情的影響，現在全球公共衛生醫療機構的資源都非常緊張，國外安全公司Emsisoft已經呼吁勒索病毒黑客組織團伙現在不要對醫院或公共醫療組織機構發起勒索病毒攻擊，隨后Maze勒索病毒黑客團隊就在論壇上發表相關的申明，承諾不對醫院等組織機構部門發起勒索病毒攻擊，全球的勒索病毒黑客組織，現在真的不要再去攻醫院或相關衛生醫療機構了，新冠病毒是一場全人類共同的戰爭，需要全人類共同的努力才能戰勝它!