前言Hive勒索病毒是一种全新的勒索病毒。笔者从6月26日开始关注这个新型勒索病毒,知识星球相关信息,如下图:id-ransomware网站也更新了这个勒索病毒的相关信息,如下:该勒索病毒使用GO语言编写,加密算法采用AES+RSA。同时,该勒索病毒还采用了“双重”勒索模式,通过将受害者的数据发布到暗网上,迫使受害者支付赎金。通过监控发现,这个勒索病毒虽然出来不久,但是非常活跃。详细分析该勒索病毒是用UPX加壳的。解包后,样本是用GO语言编写的。相关函数信息如下:生成RSA密钥和勒索提示信息内容,如下:生成勒索提示信息文件HOW_TO_DECRYPT.txt,如下图:获取内置RSA公钥信息,如下图:遍历流程,结束相关进程,如下图:结束与数据库相关的服务,如下图:自删除操作,生成一个BAT文件hive.bat,进行自删除操作,如下图:BAT文件内容,如下图如下图:删除磁盘卷影操作,如下图:遍历磁盘加密文件,如下图:清除内存中的密钥信息,如下图注意:部分勒索病毒可以先在内存中搜索密钥,然后通过解密文件找到的钥匙。该勒索软件会删除内存中的关键信息。也是为了防止这种解密方案。勒索病毒会提示Decryptthewebsiteandloginaccountandpassword,如下图:登录后,解密网站信息,如下图:6月14日前后,商业地产软件解决方案公司AltusGroup披露了相关安全漏洞,随后6月26日,Hive在其网站上公布了其数据,如下图:在不到一个月的时间里,勒索病毒黑客组织迄今已经公布了四家受害公司的数据,如下图:可以看出,该勒索病毒的行动非常迅速,未来可能会有更多的受害者。综上所述,勒索软件越来越多,不断有新的组织加入勒索软件的攻击行列。无论是新型的勒索软件黑客组织,还是知名的勒索软件黑客组织,都在不断寻找新的目标。新的攻击并未停止,勒索软件攻击仍将是未来几年全球最大的安全威胁。勒索软件黑客使用的攻击手段越来越多,而且越来越复杂。未来,勒索软件黑客会越来越多,使用的手段也会越来越复杂。APT攻击技术广泛应用于勒索软件攻击。
