[[410569]]

前言

Hive勒索病毒是一款全新的勒索病毒，筆者從6月26號開始關(guān)注這款全新的勒索病毒，知識星球相關(guān)信息，如下所示：

id-ransomware網(wǎng)站也更新了此勒索病毒的相關(guān)信息，如下所示：

該勒索病毒采用GO語言編寫，加密算法使用AES+RSA，同時這款勒索病毒也采用了“雙重”勒索的模式，通過在暗網(wǎng)上公布受害者數(shù)據(jù)，來逼迫受害者交納贖金，通過監(jiān)控發(fā)現(xiàn)雖然這款勒索病毒出來不久，但是非常活躍。

詳細分析

該勒索病毒使用UPX加殼處理，脫殼之后，樣本采用GO語言編寫，相關(guān)的函數(shù)信息，如下所示：

生成RSA密鑰以及勒索提示信息內(nèi)容，如下所示：

生成勒索提示信息文件HOW_TO_DECRYPT.txt，如下所示：

獲取內(nèi)置的RSA公鑰信息，如下所示：

遍歷進程，結(jié)束相關(guān)進程，如下所示：

結(jié)束與數(shù)據(jù)庫相關(guān)的服務，如下所示：

自刪除操作，生成一個BAT文件hive.bat，進行自刪除操作，如下所示：

BAT文件內(nèi)容，如下所示：

刪除磁盤卷影操作，如下所示：

遍歷磁盤并加密文件，如下所示：

清除內(nèi)存中的密鑰信息，如下所示：

之前有一些勒索病毒可以在內(nèi)存中搜索密鑰，然后通過找到的密鑰解密文件，這款勒索病毒擦除內(nèi)存中的密鑰信息，也是為了防止這種解密方案，該勒索病毒會提示解密網(wǎng)站以及登錄的帳號和密碼，如下所示：

登錄之后，解密網(wǎng)站信息，如下所示：

6月14日左右，商業(yè)地產(chǎn)軟件解決方案公司Altus Group披露了相關(guān)的安全漏洞，隨后6月26日其數(shù)據(jù)被Hive在其網(wǎng)站上公布，如下所示：

不到一個月的時候，到目前為止該勒索病毒黑客組織已經(jīng)公布了四家受害者企業(yè)的數(shù)據(jù)，如下所示：

可見這款勒索病毒的行動非常之快，未來可能還會有更多的受害者。

總結(jié)

勒索病毒現(xiàn)在越來越多了，而且不斷有新的組織加入到勒索病毒攻擊活動當中，不管是新型的勒索病毒黑客組織，還是已知的勒索病毒黑客組織都一直在尋找新的目標，從來沒有停止過發(fā)起新的攻擊，未來幾年勒索攻擊仍然是全球最大的安全威脅。

勒索病毒黑客組織使用的攻擊手法越來越多，也越來越復雜，未來這些勒索病毒黑客組織會越來越多，使用的手法會越來越復雜，APT攻擊技術(shù)被廣泛應用到了勒索攻擊當中。