VS Code商店出现2个包含勒索软件的扩展程序 目前已经被微软删除
山外的鸭子哥
#安全资讯 Visual Studio Code 商店出现两款包含勒索软件的扩展程序,安装后会自动调用 PowerShell 下载勒索软件加密开发者的数据。不过这俩扩展目前还在早期开发阶段,只会加密测试文件夹,所以还未造成实际伤害。查看全文:https://ourl.co/108509
早前微软因为误删 Visual Code Studio 商店中的 2 个知名主题扩展程序而向开发者道歉并恢复主题上架,这次微软删除 2 个包含勒索软件的扩展程序并且不是误报。
包含勒索软件恶意负载的扩展程序名为 ahban.shiba 和 ahban.cychelloworld,由安全研究公司 Reversing Labs 发现并通告给微软。
这些扩展程序包含调用 PowerShell 命令的代码,然后从命令和控制 (C2) 服务器中下载包含恶意代码的脚本并执行,当脚本执行后系统上的文件会被加密。
不过当前这些扩展似乎还在早期开发测试阶段,因为完成文件加密后 PowerShell 有效荷载会显示:您的文件已加密,向 ShibaWallet 支付 1ShibaCoin 即可恢复。但黑客并未留下钱包地址因此估计还在测试。
目前加密货币中并没有名为 ShibaCoin 的币种,但有个相关的是 Shiba Inu,其价格极低所以不太可能拿来当勒索赎金使用,估计开发完成后黑客会换成比特币赎金。
如果各位曾安装过这些扩展并且桌面上出现名为 testShiba 的文件夹,那说明中招了,不过现阶段这个勒索软件也仅会加密 testShiba 文件夹中的文件,所以也不会产生实际影响。
基于安全性考虑微软已经删除这些扩展并通过云端自动禁用所有 Visual Studio Code 安装的这两款扩展,用户会发现扩展被自动禁用,手动删除即可。
