2017041926

印度黑客暗网低价出售的新勒索软件 Halloware 竟是一场骗局?

  • 浏览次数 5165
  • 喜欢 0
  • 评分 12345

据外媒 12 月 3 日报道,一名自称是来自印度东北部的 17 岁大学生 Luc1F3R 正以 40 美元的低廉价格贩卖一款新勒索软件 Halloware,还专门在暗网、地下论坛、公共互联网上托管的两个站点以及 YouTube 的视频上进行销售。这些暗网为 Halloware 提供了终身许可证书,然而由于 Halloware 低廉的价格让研究人员产生了怀疑,他们推测这要么是一个骗局;要么在 Luc1F3 看来,Halloware 并没有那么复杂。对此,他们决定展开详细调查。

虽然研究人员最初认为这是一个骗局,但由于黑客在勒索软件出售网站上出现了一些操作失误,以至于他们可以追踪到 Luc1F3R  正在托管与 Halloware 有关文件的网页,包括使用勒索软件感染受害者的恶意文件列表。

halloware-home调查显示,该列表中的一份文件 hmavpncreck.exe 的 SHA256 哈希值和 Luc1F3R 在 Halloware 广告中所包含 NoDistribute 的扫描结果相同,从而证实这正是安全专家所需要寻找的恶意软件二进制文件。而另一个名为 ran.py 的文件似乎是 Halloware 的源代码。虽然该文件受到了保护,但研究人员还是设法提取了它的源代码,最终由其他安全研究人员创建出解密程序,以防有人购买这个勒索软件并用它来感染目标用户。

halloware-source-code

此外,勒索软件使用了硬编码的 AES-256 密钥加密文件,并将“(Lucifer)”字符串加到加密文件中。买家可以通过改变两个图像并添加定制的支付站点 URL 来完成安装,例如,一旦加密成功,image.png 就会变成(Lucifer)image.png。“任务完成”后 Halloware 勒索软件将会弹出窗口显示一个令人毛骨悚然的小丑与一条赎金消息引诱受害者重定向至另一暗网支付网站,并更改用户的桌面墙纸或进行其他恶意操作。

halloware-ransom-note-window

image2017120501

虽然 Halloware 是一个简单的勒索软件,但确实奏效。专家也注意到,Halloware 勒索软件并没有在被感染的个人电脑上删除文本文件。另外,Halloware 使用了硬编码的 AES-256 密钥加密文件,并没有保存远程服务器上的任何信息,这一特性使得 Halloware 并无实际意义,而且就连作者 Luc1F3R 可能也没有机会从 Halloware 手中赚到任何钱财。

由此看来,作者 Luc1F3R 似乎只是一位低技能的新手,刚刚向网络犯罪的世界迈出第一步,因为研究人员发现他在 YouTube 上传的所有黑客教程都只是描述了基本的技术或者是宣传不太复杂的恶意软件,而在 GitHub 帐户中 Luc1F3R 还托管了另外四种恶意软件。

image2017120503

附:哈希表

007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c
d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c
c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09

针对加密的文件类型:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd

消息来源:Bleeping ComputerSecurity Affairs,编译:榆榆,校对:青楚、FOX

本文由 HackerNews.cc 翻译整理,封面来源于网络。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot