迷你世界勒索病毒,你的文件被删了吗?

已于 2022-06-25 18:13:20 修改
阅读量7.2k 收藏 1
点赞数 2
分类专栏: 勒索病毒 笔记 安全 文章标签: 安全
于 2022-04-10 17:15:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63176080/article/details/124081026
版权
笔记 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
勒索病毒
1 篇文章 0 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

前言
近日,笔者在某恶意软件沙箱平台分析样本的时候,发现了一款比较有意思的勒索病毒MiniWorld迷你世界勒索病毒,它的解密界面与此前的WannaCry勒索病毒的界面相似,应该是作者仿冒的WannaCry的UI,如下所示:

这款勒索病毒既然要求受害者从指定的网站上购买Minecraft Java Editon,购买网站的链接:https://www.minecraft.net/zh-hans/store/minecraft-java-edition, 如下所示:
在这里插入图片描述
勒索病毒要求受害者购买指定的游戏,这也算是一种新的勒索方式了,此前笔者跟踪过一款绝地求生勒索软件,受害者需要通过玩游戏解锁文件,现在这款新型的迷你世界勒索病毒,竟然直接要求受害者购买这款游戏,通过样本关联,追踪到这款勒索病毒的母体程序,程序名为迷你世界,如下所示:
在这里插入图片描述
通过分析样本的上传信息,显示为CN,猜测在7月16号左右应该已经有国内用户中招了,如下所示:
在这里插入图片描述
从恶意软件平台下载这款勒索病毒的母体程序,发现这个母体程序,还带有相关的数字签名,如下所示:
这个证书的有效期从2021/7/14到2040/1/1,如下所示:
在这里插入图片描述
同时这个母体会释放相应的更新程序,从网站上下载游戏的更新包程序,更新包程序信息,如下所示:在这里插入图片描述
通过上面的初步分析,发现这款勒索病毒有点意思,笔者决定详细跟踪分析一下,看看这款新型勒索病毒究竟做了什么?它又为什么要推广这款游戏呢?
详细分析
对母体样本和勒索病毒样本进行详细分析,相关的行为特征,如下所示:
在这里插入图片描述
母体程序,会在TEMP目录下生成相关的病毒程序和游戏更新程序,如下所示:
在这里插入图片描述
通过分析显示这几个程序都是使用PureBasic编写的,这款勒索病毒主要功能主要通过执行核心的三个BAT脚本来完成,详细分析过程笔者就省略了,读者可以自己去摸索,恶意软件逆向分析是一项很有趣,但又需要花费很多时间和精力去做的事情,通过分析母体程序BAT脚本,内容如下所示:
@shift /0 @echo off
这个脚本主要功能就是生成勒索病毒程序和启动程序,然后将启动程序设置为自启动,如下所示:
在这里插入图片描述
启动程序BAT脚本,内容如下所示:
在这里插入图片描述
这个脚本的主要功能就是启动游戏更新程序,然后再执行勒索病毒,游戏更新程序,如下所示:
在这里插入图片描述
下载上面的游戏更新包,如下所示:
在这里插入图片描述
勒索病毒BAT脚本,删除磁盘数据,如下所示:
在这里插入图片描述
修改指定目录下的文件,修改后的文件后缀名为:MCNB,并修改权限,如下所示:
在这里插入图片描述
在各个磁盘下面生成勒索病毒解密程序@RecoveryYourFiles@.exe的备份以及勒索病毒提示文件@readme@.txt的备份,如下所示:
在这里插入图片描述
将启动程序设置为新的自启动项程序,如下所示:
在这里插入图片描述
设置的自启动项,如下所示:
在这里插入图片描述
最后执行勒索解密提示程序,弹出勒索解密界面,该勒索病毒基本上就分析完成了。
威胁情报
HASH:
08684A98326E5E871EE7832859FF16DA
15F71F76E53975F8276B6736741342F3
0AD083F1AB7F60A008B32B061585CD30
A8B1F3A1FF16FACAB894394044460A67
DE756B93882386B7EF059489D1E56CA0
73BD542373E567ABEEE1E71EB62670B1
7866A5A1582F206546BF8C8C89F74671
E9B7F5E881A2ACEDAED2AB8A383AE868
B5688F193F0C5EF130C423EB422B012F

总结
通过详细分析这款新型的勒索病毒,主要功能就是删除了磁盘的文件,然后修改了一些指定目录下的文件和文件夹权限等,并没有什么机制来还原这些文件,仅仅是为了骗取受害者购买安装游戏,这也算是一种新型的勒索方式,算不算诈骗呢?至于这款勒索病毒为什么要受害者去购买minecraft游戏,通过这款新型的勒索病毒来推广minecraft游戏,可能需要迷你世界游戏公司自己去内部排查了,就不瞎猜测了,嘿嘿。
同时笔者发现这款新型的迷你世界勒索病毒的黑客邮件地址为:helpmanager@airmail.cc,如下所示:
在这里插入图片描述
这个邮箱地址与旧版的STOP勒索病毒的黑客邮件地址一样,这难倒是一种巧合,还是这款勒索病毒的作者有意而为之,从笔者目前分析的结果来看,这款勒索病毒除了留的黑客邮箱地址与STOP勒索病毒的旧邮箱地址相同以外,没有任何证据显示这款勒索病毒背后的黑客团伙与STOP勒索病毒背后的黑客团伙有任何关系,也许仅仅是为了迷惑安全分析人员,也许是为了栽脏STOP勒索病毒,想让STOP勒索病毒背后的黑客团伙来背锅,哈哈哈哈,STOP勒索病毒是一款非常流行的勒索病毒,主要通过捆绑其他破解软件、游戏辅助程序、一些常用软件等渠道进行传播,最近一两年STOP勒索病毒通过捆绑KMS激活工具进行传播,以及其他一些防病毒软件等,到目前为止,此勒索病毒一共有一百多个不同的加密变种,此前Emsisoft公司发布过一款解密工具,可以解密大多数变种,不过STOP一直在更新,最新的版本暂时无法解密,笔者跟踪到的最新的STOP勒索病毒,加密后的文件后缀名为:gujd,黑客的邮箱地址已经更新为:manager@mailtemp.ch、managerhelper@airmail.cc。
勒索病毒现在越来越多了,而且不断有新的组织加入到勒索病毒攻击活动当中,不管是新型的勒索病毒黑客组织,还是已知的勒索病毒黑客组织都一直在寻找新的目标,从来没有停止过发起新的攻击,未来几年勒索攻击仍然是全球最大的安全威胁。

来自M78星云的汪星人
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
病毒下载 病毒样本
黑色雨滴
12-03 2万+
  简介:A-Z开头病毒样本打包下载,压缩文件内约7159个文件,约3573个病毒!看看各种杀毒软件能查出几个。验证一下查杀病毒的真正能力吧。仅供研究之用! 压缩包里面全部是病毒程序,千万不要解压运行。用你的杀毒软件查这个压缩包,如果查出的病毒数少于3542个的话,你还是换换杀毒软件吧。...
最新勒索病毒分类完整合集,勒索病毒后缀邮箱集合(统计实时更新……)
weixin_33757911的博客
04-10 7217
截止2019年4月份,常见勒索病毒及相关信息收集:特征收集:{mattpear@protonmail.com}MTP{Benjamin_Jack2811@aol.com}BJ{Benjamin_Jack2811@aol.com}AOL{mrgrayhorse@protonmail.com}MGH{CALLMEGOAT@protonmail.com}CMG{MOLLYGREEN...
病毒勒索者肆虐 能文件向用户勒索钱财
09-29 117
病毒勒索者肆虐 能文件向用户勒索钱财[@more@]近日,一个名为“勒索者(Harm.Extortioner.a)”的病毒正在网上肆虐。该病毒除用户的文件,然后试图向用户勒索钱财。 这是一个可以在 Win9X/NT/M...
.docx勒索病毒除 .docx勒索病毒还原文件
weixin_34128237的博客
10-29 1781
名字.docx勒索病毒类型勒索软件, Cryptovirus简短描述加密你的文件, 并要求你支付赎金, 让他们再次打开。症状文件将附加到. docx 文件扩展名。一个叫YOU_FILES_HERE的赎金纸条被遗留在受害者的电脑上。分配方法垃圾邮件, 电子邮件附件, 可执行文件.docx 文件后缀勒索病毒–分发方法可能有不止一种方式通过此. docx 勒索软件可能会传播到用户的...
流行勒索病毒分析总结
m0_68649618的博客
04-04 962
一、概述 信息安全(Information Security),意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。从层面的概念来看,计算机硬件可以看作是物理层面,软件可以看做是运行层面,然后就是数据层面。从属性的概念来看,破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深,信息安全已是当今众多互联网领域的突出问题之一。 在众多信息安全风险中,居首位者当属网络攻击。无论是公..
迷你世界迷你编程 v1.0官方版
11-12
《迷你世界迷你编程 v1.0官方版:开启青少年编程之旅》 在信息化时代,编程教育逐渐成为青少年教育的重要组成部分,而"迷你世界迷你编程"就是这样一款专为青少年设计的图形化编程软件,旨在帮助孩子们轻松入门编程...
迷你世界除助手.bat
07-26
这是一款可以彻底除迷你世界游戏的小型文件,在各个磁盘都有效,但是用前要将计算机用户名改为“Administrator”,谢谢各位。
迷你世界蓝图信息显示程序
07-07
将迷你世界存档文件夹下的vbp文件夹里面的bp开头的文件夹拖到此程序窗口即可解析出蓝图的ID以及名称
迷你世界皮肤制作模板标准版.jpg
03-23
MC迷你世界皮肤制作模板,可用于制作一些自己喜欢的皮肤,审核过后可以在与他人联机的时候让他人可见。也可以作为一个动物或NPC的模板,使用方法可以用A4纸打印下来用彩笔马克笔涂色,会板绘的也可以直接上色,非常...
Scratch素材mini世界.zip
12-04
我的世界 少儿编程相关png图片,有喜欢少儿编程的小伙伴也可以拿去,让孩子玩我的世界不如让孩子开发我的世界你说呢
CAD文件迷你查看器
10-12
总的来说,“CAD文件迷你查看器”以其小巧、便捷和高效的特性,成为了查看CAD文件的实用工具,尤其适用于那些需要频繁预览CAD设计但又不想被大型软件束缚的用户。无论是专业人士还是业余爱好者,都可以从中受益,...
资源分享·病毒样本下载资源分享
热门推荐
不忘初心,护天下安全!
04-23 1万+
一、微步云沙箱 微步在线云沙箱https://s.threatbook.cn/ 使用病毒sha256即可寻找病毒样本;该站点也可上传可疑文件/可疑URL地址到沙箱中,进行分析 。 以永恒之蓝为例,样本sha256是:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa 下载样本或流量监控,需要消耗积分: 二、AnyRun Interactive Online Malware Analysis Sandbox.
盘盘那些牛逼的勒索病毒(附样本)
Peter_FHC的博客
01-15 4060
盘点那些比较牛的勒索病毒
从virustotal上下载病毒样本
djph26741的博客
06-08 6569
#!/usr/bin/env python import os import csv #import Queue import zipfile import requests import argparse import multiprocessing # TODO: Don't hardcode the relative path? samples_...
介绍七种常见还危险的病毒(带样本)
2301_78858007的博客
07-16 774
简介:能够感染用户计算机bai系统中的.exe、.dll和.html文件,将自身加密以后缀加到目标文件中。样本(源文件):https://wwx.lanzoux.com/iJx4njrpz1c / https://wwx.lanzoui.com/iYRNLwd8ldc。英文名称:Virus.Win32.Viking.A(标准) / Worm.Win32.Fujack.A(标准)英文名称:Net-Worm.Win32.Blaster.A(标准)/ Lovesan.A/ Msblast.A。
迷你世界的脚本使用什么编程语言?
最新发布
08-25
### 回答1: 根据我的了解,迷你世界使用的脚本编程语言是 Lua。Lua 是一种轻量级的解释型编程语言,广泛用于游戏开发中,具有简单易学、速度快、可扩展性强等优点,因此在迷你世界中得到了广泛应用。通过编写 Lua 脚本,玩家可以自定义游戏中的各种行为、物品、场景等,从而让游戏更加丰富多彩。 ### 回答2: 迷你世界的脚本使用的编程语言是Lua。Lua是一种轻量级的脚本语言,在游戏开发领域广泛使用。它具有简洁的语法和高效的执行速度,适合用于游戏的逻辑控制和脚本编写。 迷你世界使用Lua语言来编写各种脚本,包括玩家行为的控制、场景物体的互动、任务系统的实现等。通过编写Lua脚本,玩家可以自定义游戏中的各种行为和规则,增加游戏的趣味性和可玩性。 使用Lua作为脚本语言的优势在于它的灵活性和可扩展性。Lua具有简单直观的语法,易于学习和使用,同时也支持面向对象的编程风格。它还可以与其他编程语言无缝集成,方便扩展游戏功能。 此外,Lua还具有良好的性能表现。它采用了轻量级的脚本解释器,运行速度较快,适合用于游戏中的实时控制和计算。 总的来说,迷你世界的脚本使用的编程语言是Lua。Lua语言具备简洁、高效、灵活等特点,为迷你世界的脚本编写和游戏功能扩展提供了便利。 ### 回答3: 迷你世界的脚本使用一种名为Blockly的编程语言。Blockly是一种基于图形化编程的编程语言,它的目标是让编程变得更加简单和易于理解。Blockly采用拼图的形式,用户只需要将拼图拖拽到工作区域并连接起来,就能够创建出各种不同的脚本。这种图形化的编程方式不需要用户编写复杂的代码,而是通过选择和连接不同的拼图来实现各种功能。 迷你世界的脚本使用Blockly的编程语言的好处在于,它是一种非常适合初学者使用的编程语言。由于不需要编写繁琐的代码,用户可以更加专注于逻辑和问题解决的思考,而不用担心语法错误等问题。Blockly还提供了丰富的API和模块,使得用户可以更加轻松地创建自己的脚本,实现各种不同的功能。 另外,使用Blockly的编程语言还可以培养孩子们的逻辑思维和问题解决能力。通过拼图的方式,孩子们可以更加直观地理解程序的执行过程,培养他们的创造力和解决问题的能力。Blockly的编程语言也广泛应用于教育领域,被用来教授编程课程,帮助学生们培养计算思维和创新能力。 总之,迷你世界的脚本使用Blockly的编程语言,这种图形化的编程方式简单易懂,适合初学者使用,可以帮助孩子们培养逻辑思维和问题解决能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值