IObit论坛遭到广泛的DeroHE勒索软件攻击

Windows实用程序开发人员IObit在周末遭到黑客攻击，进行了广泛的攻击，以将奇怪的DeroHE勒索软件分发给论坛成员。

IObit是一个软件开发人员，以Windows系统优化和反恶意软件程序（例如Advanced SystemCare）而闻名。

上周末，IObit论坛成员开始收到声称来自IObit的电子邮件，称他们有权获得软件的免费1年许可证，这是成为论坛成员的特殊待遇。

电子邮件中包含一个“立即获取”链接，该链接重定向到hxxps：//forums.iobit.com/promo.html。该页面不再存在，但是在受到攻击时，它正在hxxps：//forums.iobit.com/free-iobit-license-promo.zip分发文件。

该压缩文件[ VirusTotal ]包含来自合法IObit License Manager程序的经过数字签名的文件，但IObitUnlocker.dll被替换为如下所示的未签名的恶意版本。

**恶意IObitUnlocker.dll DLL**
来源：BleepingComputer

当执行IObit License Manager.exe时，将执行恶意的IObitUnlocker.dll，将DeroHE勒索软件安装到C：\ Program Files（x86）\ IObit \ iobit.dll [ VirusTotal ]并执行它。

由于大多数可执行文件都使用IOBit的证书签名，并且zip文件托管在其站点上，因此用户安装了勒索软件，认为这是合法的促销活动。

根据在IOBIT的论坛和其他论坛[报告1，2 ]，这是一个普遍的攻击，针对所有论坛成员。

仔细研究DeroHE勒索软件

此后，BleepingComputer分析了勒索软件，以说明在受害者计算机上执行时会发生什么。

首次启动时，勒索软件将添加一个名为“ IObit许可证管理器”的Windows自动运行程序，该程序将在登录Windows时启动“ rundll32“ C：\ Program Files（x86）\ IObit \ iobit.dll”，DllEntry“命令。

Emsisoft分析师 Elise van Dorp（也分析了勒索软件）表示，勒索软件添加了以下Windows Defender排除项以允许DLL运行。

@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"

勒索软件现在将显示一个消息框，声称是IObit许可证管理器发出的消息，指出：“请稍等。它可能需要比预期更长的时间。请保持计算机运行或打开屏幕！” 勒索软件会显示此警报，以防止受害者在勒索软件完成之前关闭其设备。

伪造的警报无法关闭计算机 — **假警报无法关闭计算机**
来源：BleepingComputer

在加密受害者时，它将.DeroHE扩展名附加到加密文件中。

**由DeroHE勒索软件加密的文件**
来源：BleepingComputer

每个加密文件还将在文件末尾附加一串信息，如下所示。如果支付了赎金，勒索软件可能会使用此信息来解密文件。

{"version":"3","id":"dERiqiUutvp35oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg5r9SrERKe7r5DVpU8kMDr","parts":[{"size":193536,"esize":193564,"offset":0,"rm":"Phj8vfOREkYPKA9e9qke1EIYOGGciqkQBSzfzg=="}],"ext":".png"}

十六进制编辑加密文件 — **加密文件的十六进制编辑**
来源：BleepingComputer

在Windows桌面上，DeroHE勒索软件将创建两个名为FILES_ENCRYPTED.html的文件，其中包含所有加密文件的列表以及READ_TO_DECRYPT.html勒索注释。

赎金票据的标题为“ Dero同态加密”，并推广了一种称为DERO的加密货币。这张票据告诉受害者将200个硬币（价值约100美元）发送到所列地址，以获取解密器。

DeroHE勒索软件勒索注意事项 — **DeroHE勒索软件勒索笔记**
来源：BleepingComputer

赎金说明中包含勒索软件的Tor网站http://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onion，可用于付款。

特别有趣的是，Tor网站指出，IObit可以发送100,000美元的DERO硬币来解密所有受害者，因为攻击者将IObit的折中归咎于IObit。

“告诉iobit.com向我们发送100000（十万）枚DERO硬币到这个地址。dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULtCRPxzRwRCKZ2j2ugCg26hRtLziwu

DeroHE Tor付款网站指出：“付款到帐后，所有加密的计算机（包括您的计算机）都将被解密。这是IOBIT的故障，使您的计算机受到感染。”

Dero Ransomware Tor付款网站 — **Dero Ransomware Tor付款站点**
来源：BleepingComputer

目前正在分析勒索软件的弱点，尚不清楚是否可以免费解密。

此外，还不清楚威胁者是否会如愿以偿，并在付款后提供解密器。

IObit论坛可能已受到威胁

为了创建伪造的促销页面并进行恶意下载，攻击者可能会入侵IObit的论坛并获得对管理帐户的访问权限。

这时，论坛似乎仍然受到威胁，就像您访问丢失的页面并返回404错误代码一样，该网页将显示用于订阅浏览器通知的对话框。订阅后，您的浏览器将开始收到桌面通知，宣传成人网站，恶意软件和其他有害内容。

此外，如果您单击页面上的任意位置，将打开一个新标签，显示成人网站的广告。其他站点部分似乎也受到了损害，因为单击论坛链接会将您重定向到相似的成人页面。

攻击者通过在未找到的所有页面上注入恶意脚本来破坏论坛，如下所示。

BleepingComputer已与IObit有关此攻击的问题进行了联系，但尚未收到回复。

*编译：Domino

*来自：bleepingcomputer