假装注册机的勒索软件“杀疯了”,赎金交付支持国内收款码

阅读量125940

发布时间 : 2024-01-23 14:15:39

有时候,大多用户为了能够“逃避”下载软件后的注册环节,往往会投机取巧地选择通过注册机激活,来实现软件破解。然而令人想不到的是,注册机其实也暗藏着安全风险。

近期,360数字安全集团接到用户反馈在使用某款“注册机”软件时,系统文件被强行加密。通过对线索和样本的综合分析研判,360安全云发现一款借助破解类工具进行传播的新型勒索软件。该勒索软件会通过向桌面释放勒索信与收款二维码图片的方式,向用户索要2000元人民币赎金。在其开始传播的短短数日内,就已经有数十位用户不幸遭受勒索攻击。

据受害用户反馈,该勒索软件的网盘下载页面会伪装成注册机软件,来诱导用户下载并运行。

以伪装成“CSAA11注册机”的勒索软件为例,当用户下载完成后,会发现压缩包中的确含有一个所谓的“KeyGen.exe”主程序

点击运行该KeyGen.exe程序后,会显出一张正常,甚至可以说是炫酷的注册机界面。

然而,在这个看似正常的注册机界面后台,其实是已经被暗暗加载到内存中,并开始默默运行的“libartual.dll”程序。

该程序虽然以“.dll”命名像是一个动态链接库文件,但实际上是一个可以自运行的“.exe”程序。该程序被加载到内存中执行后,从再次从自身附带的资源数据中获取隐藏的功能代码并解密: