超3300万邮箱密码泄露，勒索软件攻击浪潮袭来

入口检测虚拟机和调试器，环境不匹配则退出。

关闭安全中心提示，降低被用户发现的概率。

将自身复制到c:\windows\[random]\win[random].exe并设置运行启动项，启动项名称为“Microsoft Windows Driver”

感染U盘和网盘，写入antorun.inf

劫持剪贴板钱包地址，劫持到黑客的钱包地址，目前支持BTC、XMR等。

BTC被劫持到0.14697873

从以下域名下载1.exe~8.exe

挖矿模块2.exe

2.exe启动后释放文件

C:\ProgramData\[随机]\cfg

C:\ProgramData\[随机]\cfgi

C:\ProgramData\[随机]\windrv32

C:\ProgramData\[随机]\r.vbs

windrv32挖矿模块，cfg为挖矿相关配置，包括矿池和账户

r.vbs 设置挖矿模块启动项

电子邮件勒索模块3.exe

首次接入获取任务ID（网址暂不公布），本次监控获取的ID数量达到1691个。

每个任务文件包含 20,000 个电子邮件帐户和密码。

据此计算，入侵者持有的电子邮件账户数量已超过3300万个，包括yahoo、Gmail、Aol、msn、hotmail等美国知名电子邮件服务均受到影响。

病毒会根据泄露的用户密码验证密码的正确性。 一旦验证成功，就会向邮箱发送一封欺诈性勒索邮件，声称知道受害用户的所有密码威胁邮件 要比特币 视频，并在3天内支付价值900美元的BTC。 用户的所有隐私信息均在线公开。

黑客接收BTC的钱包地址：1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17，至此已成功接收到0.01BTC

安全建议

1、将VNC连接密码修改为复杂密码威胁邮件 要比特币 视频，防止类似的爆破攻击；

2、关闭不必要的网络文件共享，关闭计算U盘自动播放等功能，减少中毒的可能性；

3、推荐使用腾讯鱼店或腾讯电脑管家清除“Burimi”蠕虫；

4、推测攻击者利用大量泄露的邮箱账号进行攻击企图。 我们建议使用yahoo、Gmail、Aol、msn、hotmail邮件的网友收到勒索邮件后无需恐慌或支付比特币。 注意修改邮箱账号密码，开启双因素验证，确保账号安全。

您也可以按照以下步骤手动清洁它

删除文件

C:\ProgramData\FtqBnjJnmF[随机]\cfg

C:\ProgramData\FtqBnjJnmF[随机]\cfgi

C:\ProgramData\FtqBnjJnmF[随机]\windrv32

C:\ProgramData\FtqBnjJnmF[随机]\r.vbs

c:\windows\48940040500568694\v.exe

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[随机]

删除注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver

国际奥委会

钱包

1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17

1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw

qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk

24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97t7VaTr

XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D

DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh

0x8b7f16faa3f835a0d3e7871a1359e45914d8c344

LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF

PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS

t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca

领域

soruuoooshfrohuo.su

aoruuoooshfrohuo.su

roruuoooshfrohuo.su

toruuoooshfrohuo.su

toruuoooshfrohuo.su

uoruuoooshfrohuo.su

foruuoooshfrohuo.su

zeruuoooshfrohuo.su

zruuoooshfrohuo.su

bbruuoooshfrohuo.su

soruuoooshfrohoo.su

aoruuoooshfrohoo.su

roruuoooshfrohoo.su

toruuoooshfrohoo.su

toruuoooshfrohoo.su

uoruuoooshfrohoo.su

foruuoooshfrohoo.su

zeruuoooshfrohoo.su

zruuoooshfrohoo.su

bbruuoooshfrohoo.su

soruuoooshfrohlo.su

aoruuoooshfrohlo.su

roruuoooshfrohlo.su

toruuoooshfrohlo.su

toruuoooshfrohlo.su

uoruuoooshfrohlo.su

foruuoooshfrohlo.su

zeruuoooshfrohlo.su

zruuoooshfrohlo.su

bbruuoooshfrohlo.su

soruuoooshfrohfo.su

aoruuoooshfrohfo.su

roruuoooshfrohfo.su

toruuoooshfrohfo.su网站

toruuoooshfrohfo.su网站

uoruuoooshfrohfo.su

foruuoooshfrohfo.su

zeruuoooshfrohfo.su

zruuoooshfrohfo.su

bbruuoooshfrohfo.su

ssofhoseuegsgrfnj.su

unokaoeojoejfghr.ru

osheoufhusheoghuesd.ru

fafhoafouhfuh.su

aueoegfiaefuageudn.ru

aiiaiafrzrueuedur.ru

osuhughgufijfi.ru

agnediuaeuidhegsf.su

ouhfuosuosrhfzr.su

agnediuaeuidhegsf.su

unokaoeojoejfghr.ru

网址

hxxp://thaus.to/1.exe

hxxp://thaus.to/2.exe

hxxp://thaus.to/3.exe

hxxp://thaus.to/4.exe

hxxp://thaus.to/5.exe

hxxp://thaus.to/6.exe

hxxp://thaus.to/7.exe

hxxp://thaus.to/8.exe

……

知识产权

193.32.161.77

193.32.161.69

MD5

ef7ffba4b98df751763464f404d3010c

f895a1875b3e112df7e4d548b28b9927

1d843f799da25d93d370969e126c32fa

3e26d2428d90c95531b3f2e700bf0e4c

33e45f80f9cbfd841242e8bb4488def1