黑客业务

24小时接单的黑客,黑客业务,黑客怎么找,网络黑客,黑客技术

IObit论坛遭黑客入侵并向其成员传播勒索软件

上周末,Windows软件开发的实用程序IObit一个奇怪的勒索软件遭到了黑客的广泛攻击DeroHE这次攻击被传播给论坛成员。

IObit软件开发软件Windows例如,系统优化和反恶意软件程序Advanced SystemCare)而闻名。

上周末,IObit论坛成员开始收到声称IObit电子邮件称,他们有权免费获得一年的软件许可证,这是论坛成员的特殊待遇。

IObit论坛遭黑客入侵并向其成员传播勒索软件

电子邮件包含一个“立即获取”链接,链接重定向到hxxps://forums.iobit.com/promo.html。这个页面已经不存在了,但是当它受到攻击时,它就在了hxxps://forums.iobit.com/free-iobit-license-promo.zip分发文件。

该压缩文件[VirusTotal]包括法律IObit License Manager但是程序的数字签名文件,IObitUnlocker.dll以下恶意版本替换为未签名。

IObit论坛遭黑客入侵并向其成员传播勒索软件

当IObit License Manager.exe操作时,恶意执行IObitUnlocker.dll,从而将DeroHE安装了勒索软件C:\Program Files (x86)\IObit\iobit.dll [VirusTotal]并执行它。

大多数可执行文件都使用IOBit并签署证书zip文件托管在其网站上,因此用户在安装勒索软件时会认为这是合法的促销活动。

根据IOBIT论坛和其他论坛的报告是对所有论坛成员的广泛攻击。

DeroHE勒索软件

此后,BleepingComputer分析了勒索软件,以解释在受害者的计算机上执行时会发生什么。

第一次启动时,勒索软件添加一个名称"IObit License Manager"的Windows登录自动操作程序Windows时启动"rundll32 "C:\Program Files (x86)\IObit\iobit.dll",DllEntry"命令。

Emsisoft分析师Elise van Dorp(勒索软件之前也分析过)表示,勒索软件添加了以下内容Windows Defender允许排除项DLL运行。

                   
  • @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
  •                
  • @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
  •                
  • @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
  •                
  • @WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"

勒索软件现在将显示一个消息框IObit License Manager上面写着:“请稍等。它可能需要比预期更长的时间。请保持电脑运行或打开屏幕!”为了防止受害者在勒索软件完成前关闭其设备,勒索软件将显示此警报。

IObit论坛遭黑客入侵并向其成员传播勒索软件

它将加密受害者.DeroHE扩展名附加到加密文件中。

IObit论坛遭黑客入侵并向其成员传播勒索软件

每个加密文件还将在文件末尾添加一个信息字符串,如下所示。如果支付赎金,勒索软件可以使用此信息来解密文件。

  • {"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}
  • IObit论坛遭黑客入侵并向其成员传播勒索软件

    在Windows桌面上,DeroHE勒索软件将创建两个名称FILES_ENCRYPTED.html所有加密文件的列表和文件READ_TO_DECRYPT.html赎金单。

    赎金票据的标题是“ Dero同态加密”,并推广了一个名字DERO加密货币。该票据告诉受害者将200枚硬币(约100美元)发送到所列地址以获得解密器。

    IObit论坛遭黑客入侵并向其成员传播勒索软件

    勒索单上附有勒索软件Tor地址,http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.com,可用于付款。

    特别有趣的是,Tor网站指出,IObit可发送10万美元DERO硬币解密所有受害者,因为攻击者认为这应该归咎于IObit。

    “告知iobit.com向我们发送1万(10万)枚DERO硬币到这个地址。

  • dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg26hRtLziwu”
  • DeroHE Tor支付网站指出:“付款到帐后,所有加密的计算机(包括您的计算机)都将被解密。您的计算机受到感染都要归咎于IOBIT。”

    IObit论坛遭黑客入侵并向其成员传播勒索软件

    目前还不清楚勒索软件的弱点是否可以免费解密。

    此外,不清楚威胁者是否会如愿以偿,并在付款后提供解密器。

    IObit论坛可能受到威胁

    为了创建虚假的推广页面并进行恶意下载,攻击者可能会入侵IObit论坛并获得访问管理账户的权限。

    此时,论坛似乎仍然受到威胁,就像您访问丢失的页面并返回404错误代码一样,该页面将显示用于订阅浏览器通知的对话框。订阅后,您的浏览器将开始收到桌面通知,宣传成人网站、恶意软件和其他有害内容。

    IObit论坛遭黑客入侵并向其成员传播勒索软件

    此外,如果您单击页面上的任何位置,您将打开一个新标签来显示成人网站的广告。其他网页部分似乎也受到了攻击,因为单击论坛链接将重新定向类似的成人页面。

    如下所示,攻击者将恶意脚本注入所有未找到的页面。

    IObit论坛勒索软件被黑客入侵并传播给其成员

    BleepingComputer向IObit提出了与这次攻击有关的问题,但没有得到回复。

    本文翻译自:

    https://www.bleepingcomputer.com/news/security/iobit-forums-hacked-to-spread-ransomware-to-its-members/

       
    • 评论列表:
    •  久隐师
       发布于 2022-05-29 18:22:29  回复该评论
    • lusionProcess=\"rundll32.exe\"勒索软件现在将显示一个消息框IObit License Manager上面写着:“请稍等。它可能需要比预期更长的时间。请保持电脑运行或打开屏幕!”为了防止受害者在勒索软件完成前关闭其设备
    •  孤央俛就
       发布于 2022-05-30 04:00:44  回复该评论
    • om/news/security/iobit-forums-hacked-to-spread-ransomware-to-its-members/    
    •  语酌俗欲
       发布于 2022-05-29 20:53:14  回复该评论
    • 了hxxps://forums.iobit.com/free-iobit-license-promo.zip分发文件。该压缩文件[VirusTotal]包括法律IObit License Manager但是程序的数字签名文件,IObitUnlocker.dll

    发表评论:

    Powered By

    Copyright Your WebSite.Some Rights Reserved.