Loading… 超强勒索病毒GandCrab再现新版5.3 躲避警方出新招_TOM新闻

      <output id="l387h"><sup id="l387h"><track id="l387h"></track></sup></output>
    1. <acronym id="l387h"></acronym>

      1. <td id="l387h"></td>
        <meter id="l387h"><menuitem id="l387h"></menuitem></meter>
      2. 正文
        Qzone
        微博
        微信
        超强勒索病毒GandCrab再现新版5.3 躲避警方出新招
        2019-04-25 12:01 TOM   

        近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种,此版本延续了5.2版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联?#21040;?#32435;赎金,这极有可能是为了躲避警方的追查。

        图:勒索信息支付赎金方式改为邮件

        瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被?#20998;?#22810;国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

        瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企?#23548;?#20135;品均可对GandCrab 5.3勒索病毒进行查杀,瑞星之剑(下载地址:http://www.rising.com.cn/j/)可以有效拦截该勒索病毒。

        图:瑞星ESM与瑞星之剑拦截查杀截图

        技术分析

        勒索病毒GandCrab 5.3运行后获取当前计算机语言,与病毒内置语言列表中的语言进行对比,如果本机语言在列表中则退出,不执行?#29992;?#25805;作。

        图:判断计算机语言

        病毒会结束?#20184;?#36827;程,防止文件被占用无法?#29992;埽?#20027;要是针对数据库和办公软件的进程。

        图:查找?#20184;?#36827;程

        解密出RSA公钥,此公钥和之?#23433;?#33719;的V5.2版本的公钥相同。

        图:解密出RSA公钥

        获取本机用户名、操作系统版本、计算机语言、磁盘剩余?#21344;?#31561;信息,追加上勒索版本V5.3。

        图:获取的本机信息

        使用RC4算法将获取到的本机信息?#29992;埽?#21457;送给控制服务器用于统计感染量。

        图:?#29992;?#21518;的本机信息

        在做好准备工作之后,病毒会创建线程开?#25216;用?#25991;件。

        图:创建线程?#29992;?/p>

        遍历磁盘中的文件。

        图:遍历文件

        ?#29992;?#26102;排除一些文件和文件夹,防止系统无法正常运行。

        图:排除?#20184;?#25991;件

        文件的内容被Salsa20算法?#29992;埽?#25991;件名被追加上随机后缀。

        图:被?#29992;?#25991;件

        删除系统自带的卷影备份。

        图:删除卷影备份

        修改桌面背景图片,显示勒索信息。

        图:修改桌面背景

        图:修改后的桌面背景

        ?#29992;?#23436;成后退出,并调用cmd删除自身文件。

        图:删除自身文件

        防范措施

        1、不打开陌生或可疑邮件,不下载邮件附件。

        2、浏览网页时不下载运行可疑程序。

        3、及时更新系统、漏洞补丁。

        4、不使用弱口令密码。

        5、多台机器不使用相同密码。

        6、安装杀毒软件及时更新病毒库。

        7、安装防勒索软件,防止未知病毒变种?#29992;?#25991;件。

         

        责任编辑: WY-BD

        责任编辑: WY-BD
        彩票奖金

          <output id="l387h"><sup id="l387h"><track id="l387h"></track></sup></output>
        1. <acronym id="l387h"></acronym>

          1. <td id="l387h"></td>
            <meter id="l387h"><menuitem id="l387h"></menuitem></meter>
              <output id="l387h"><sup id="l387h"><track id="l387h"></track></sup></output>
            1. <acronym id="l387h"></acronym>

              1. <td id="l387h"></td>
                <meter id="l387h"><menuitem id="l387h"></menuitem></meter>