前言
上周日(2021年7月18日),笔者在公众号上发表了一篇《迷你世界勒索病毒,你的文件被删了吗?》的文章,然后发现这篇文章在腾讯的相关平台阅读量非常之多,同时引起了很多人的评论,由于笔者此前对迷你世界、MineCraft这两款游戏并不太熟悉,仅仅是从恶意软件研究人员角度进行了相关的分析和研究,笔者分析的时候并没有去查看这两款游戏的相关资料,简单的以为迷你世界就是MineCraft的中文版本,所以在这篇文章最后结论推判的过程中存在一定的偏差,笔者经过了解,对相关的内容进行了修改,同时也对此前发布的文章一些内容进行了相关的修正,感谢大家的指正,作为一名恶意软件研究人员,对一些分析结论必须要有一种更加严谨的态度,这也许就是一名恶意软件研究人员的自我修养。
迷你世界与MineCraft游戏好像一直存在某些争议,而且国内好像有很多很多的MC迷,笔者很少玩游戏,这里不对这两款游戏谁好谁坏做出评价,仅仅是纠正笔者在分析恶意软件过程中的一些结论偏差。
纠正
经过网友指出,如下所示:
原来迷你世界,并不是MineCraft的中文版,笔者在分析的过程中也很好奇为啥这款勒索病毒会要求受害者去下载MineCraft游戏,所以笔者曾经简单的认为迷你世界,就是MineCraft游戏的中文版本,作者是想推广迷你世界游戏,原来这是两款不同的游戏,而且这两款游戏历史争论还挺大的,这款迷你世界勒索病毒作者并不是要推广迷你世界游戏,而是想引导受害者去购买MC国际版MineCraft游戏,同时网友的评论也提醒了笔者为啥文件的后缀名被修改成了MCNB,就是MC(牛逼)的意思吧。
所以这款勒索病毒并不是为了推广迷你世界游戏,而是为了推广MC国际版游戏。
这款勒索病毒背后的作者可能是一名MC的忠实爱好者,同时应该也是一名计算机技术的爱好者,因为笔者在分析样本的过程中,有几个技术细节不是一般的人能想到和做到的,一定是一个比较懂计算机技术的人,样本首先采用了数字签名技术,并使用了不同的程序开发技术进行开发,同时在勒索提示程序中留的邮箱地址竟然是STOP勒索病毒黑客组织旧的邮箱地址,如果不是研究计算机相关技术的人,不会对这些细节了解,所以作者不仅仅是MC游戏的忠实爱好者,也一定是对计算机相关技术比较熟悉的技术人员,开发这款勒索病毒也许只是出于对迷你世界的不满,同时为了在国内推广MC游戏,至于这款勒索病毒为什么会传出来,又是怎么传出来的,国内现在已经有用户中招了,笔者猜测有可能是通过一些游戏的论坛或群来进行传播的,也可能是通过一些第三方游戏下载网站来传播的,笔者就不得而知了,也仅仅是笔者的猜测,实际的过程也只有作者自己清楚了,不过笔者提醒广大的国内迷你世界游戏爱好者,从正规的渠道下载游戏,同时不要随便接收安装不明来源的游戏安装程序,以免中招。
总结
说真的对于这两款游戏,笔者并不了解,也没有玩过,不去评价这两款游戏的好与坏,也不参与这两款游戏爱好者之间的争论与纠纷,笔者仅仅是从恶意软件研究员的角度对捕获的相关恶意样本进行了相关技术的分析和研究,由于对这两款游戏不太熟悉,理解有误,导致在最后结论的推判过程中存在一定的偏差,以为这款迷你世界是为了推广迷你世界游戏,其实并不是推广迷你世界游戏,而且为了推广国际版MineCraft游戏,不过这个样本的相关危害行为确实是存在的,笔者觉得不管是哪款游戏的爱好者,都应该遵守法律的底线,绝不能超越法律去做一些违反法律的事情,目前这款勒索病毒国内应该已经有一些人中招了,正在寻求相关的帮助,未来还会不会有更多的人中招,需要持续监控,同时笔者写之前那篇文章,也是为了通过文章,帮助大家认识勒索病毒,了解勒索病毒,对勒索病毒提高警惕,现在勒索病毒真的是太多了,不管是针对个人的,还是针对企业的,大家一定要提高相关的安全意识。
就像上篇文章提到的,通过分析这款勒索病毒会修改了一些指定目录的文件和权限,同时还会删除其他磁盘目录的文件,这应该算是另外一种勒索方式,很多人理解的勒索病毒就是加密文件,然后勒索受害者解密文件之类的,事实上勒索病毒的勒索方式,并不仅仅限于加密文件勒索,还有其他的方式来进行勒索,比方之前各平台上出现的一些锁屏勒索病毒等等,这款新型的勒索病毒采用的是另外一种形式的勒索,先修改和删除你的文件,“吓唬你”再“欺骗”你购买相关的游戏,进行勒索,其实这也属于勒索病毒。
最后祝两款游戏的作者都能玩的开心,笔者的文章并不针对哪款游戏,哪个作者,仅仅是一名恶意软件研究人员,喜欢研究一些新型的恶意软件以及国内外发生各种最新的黑客攻击事件,如果有分析不对的地方,请大家多多包涵,做为一名恶意软件分析人员,严谨是一种工作态度,笔者后面还会持续不断的对新出现的恶意软件以及黑客攻击事件进行分析研究。
安全的路很长,贵在坚持!
