IObit论坛遭到黑客攻击并向该论坛的成员传播勒索软件。IObit是一种软件开发软件,以Windows系统优化和反恶意软件程序(如AdvancedSystemCare)而闻名。上周末,IObit论坛成员开始收到声称来自IObit的电子邮件,称他们有权获得为期一年的免费软件许可证,这是成为论坛成员的一项福利。该电子邮件包含重定向到hxxps://forums.iobit.com/promo.html的“立即获取”链接。该页面不再存在,但在攻击发生时它正在hxxps://forums.iobit.com/free-iobit-license-promo.zip分发文件。压缩文件[VirusTotal]包含来自合法IObitLicenseManager程序的数字签名文件,但IObitUnlocker.dll被替换为如下所示的恶意未签名版本。当IObitLicenseManager.exe运行时,它会执行恶意的IObitUnlocker.dll,它将DeroHE勒索软件安装到C:\ProgramFiles(x86)\IObit\iobit.dll[VirusTotal]并执行它。由于大多数可执行文件都使用IOBit的证书签名,并且zip文件托管在其网站上,因此用户在安装勒索软件时会认为这是合法的促销活动。根据IOBIT论坛等论坛的报道,这是一次针对所有论坛成员的广泛攻击。DeroHERansomwareBleepingComputer此后对勒索软件进行了分析,以说明在受害者计算机上执行时会发生什么。首次启动时,勒索软件会添加一个名为“IObitLicenseManager”的Windows自动运行程序,该程序会在Windows登录时启动“rundll32"C:\ProgramFiles(x86)\IObit\iobit.dll",DllEntry”命令。Emsisoft分析师ElisevanDorp(之前也分析过勒索软件)表示,该勒索软件添加了以下WindowsDefender排除项以允许DLL运行。@WMIC/Namespace:\\root\Microsoft\Windows\Defender类MSFT_MpPreference调用AddExclusionPath=\"@WMIC/Namespace:\\root\Microsoft\Windows\Defender类MSFT_MpPreference调用AddExclusionPath=\"\Temp\\"@WMIC/Namespace:\\root\Microsoft\Windows\Defender类MSFT_MpPreference调用AddExclusionExtension=\".dll\"@WMIC/Namespace:\\root\Microsoft\Windows\Defender类MSFT_MpPreference调用AddExclusionProcess=\"rundll32.exe\"勒索软件现在将显示一个消息框,说明这是来自IObit许可证管理器,并说:"请稍候。这可能需要比预期更长的时间。Pleasekeepyourcomputerrunningorturnonthescreen!"勒索软件显示此警报以防止受害者在勒索软件完成之前关闭他们的设备。在加密受害者时,它会将.DeroHE扩展名附加到加密文件。每个加密文件也会附加文件末尾的一串信息如下所示。如果支付赎金,勒索软件可能会使用此信息来解密文件。{"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}在Windows桌面上,DeroHE勒索软件将创建两个名为FILES_ENCRYPTED.html的文件,其中包含所有加密文件的列表和READ_TO_DECRYPT.html赎金记录。赎金票据的标题是“Dero同态加密”,并推广一种名为DERO的加密货币。该说明告诉受害者将200个硬币(价值约100美元)发送到列出的地址以获得解密器。勒索软件的Tor地址http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.com附在赎金单上,可用于支付。特别有趣的是,Tor站点指出IObit可以发送100,000美元的DERO硬币来解密所有受害者,因为攻击者认为这都是IObit的错。“告诉iobit.com向我们发送100,000(十万)个DERO硬币到这个地址。dERopYDgpD235oSUfRSTCXL53TRAkECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg26hRtLziwu”DeroHETor支付网站声明:“由于IOB的付款到达,所有计算机都被感染。“目前正在分析该勒索软件的弱点,目前尚不清楚是否会免费解密。另外,也不清楚威胁行为者是否会如愿以偿并在付款后提供解密器。IObit论坛可能已于为了创建一个虚假的宣传页面并进行恶意下载,攻击者可以入侵IObit的论坛并获得管理帐户的访问权限。此时,论坛仍然出现被破坏的情况,就像您访问丢失的页面并返回一个404错误代码,网页将显示用于浏览器通知的订阅对话框。订阅后,您的浏览器将开始接收宣传成人网站、恶意软件和其他有害内容的桌面通知。此外,如果您单击页面上的任意位置,将出现一个新选项卡打开,显示成人网站的广告。网页的其他部分似乎受到损害,因为单击论坛链接会将您重定向到类似的成人页面。攻击者通过在所有未找到的页面上注入恶意脚本来破坏论坛,如下所示BleepingComputer向IObit提出了与此攻击相关的问题,但没有收到回复。对其成员/
