背景图简述 近期,令人信服的安全性精英团队发觉新的保释金病毒感染活跃性起來。网络攻击根据社会发展工程项目,RDP远程控制工程爆破等手动式对于加工业和医疗器械行业手动式机瞄勒索软件,并在数据加密后手动式删掉勒索软件。文章正文和侵入系统日志。 敲诈勒索软件加密后,文档的任意尾缀尾缀为[12-13]英语字母,RAS + AES优化算法用以加密文件,勒索软件信息内容文档被释放出来。实际操作进行后,实行自身拷贝,但一般任务是网络攻击手动式删掉它。令人信服的安全性精英团队将保释金病毒感染取名为Attention ransomware并开展了深入分析。
敲诈勒索作用 1.勒索软件信息内容文档你的文档被数据加密.TXT,2.数据加密文件后缀是1个英文大写字母的任意[12-13]英语字母,前3个英文字母是同样的,给出如图所示:深入分析 1.在%temp%文件目录中转化成任意文档B3A9A362.ghost,随后将03载入文档,给出如图所示:
2.随后搜索并删掉B3A9A362.ghost给出:
3.将本身拷贝到C: \ Users \ panda \ AppData \ Roaming \ Microsoft \ Windows文件目录中的ctfmon.exe,给出如图所示:11.随后根据ShellExecute启用拷贝的ctfmon.exe程序运行敲诈勒索软件加密实际操作,给出如图所示:
4.删掉初始文档,给出如图所示: 启用的主要参数给出: '/c For/l%x In(1,1,521)Do(ping -n 3 127.1& del'C: \ Users \ panda \ Desktop \ Ransomware1.exe'& if;要是找不到'C: \ Users \ panda \ Desktop \ Ransomware1.exe'撤出)'
6.转化成勒索软件基本信息给出: 随后将密匙信息内容储存到注册表HKEY_CURRENT_USER \ Software \ Ghost \ Service,给出如图所示:
11.遍历共享网络文件目录,给出如图所示:
8.遍历硬盘文件目录,给出如图所示:
0.将勒索软件文本文档破译到运行内存中,
11.破译运行内存中未数据加密的文件目录,未数据加密的文件目录目录,给出如图所示: ALLUSERPROFILE,APPDATA,WINDIR等 4.运行内存破译各种各样未数据加密的文件目录,及其文件夹名称或有关尾缀,给出如图所示: 未加密文件名目录给出: BOOT.INI; BOOTFONT.BIN; BOOTSECT.BAK;的desktop.ini; defender.exe; iconcache.sbt; master.exe; MASTER.DAT; ntdetect.Com; NTLDR; NTUSER.DAT; ntuser.data.log; NTUSER。 Ini; temp.txt; thumbs.sbt; unlock.exe; unlocker.exe;你的文档被数据加密.TXT; 包括字符串目录的未数据加密文件目录,给出如图所示: .rome \; \ Mozilla Firefox \; \ Mozilla \; \ Opera Software \; \ Opera \; \ Tor Browser \; \ Common Files \; \ Internet Explorer \; \ Windows Defender \; \ Window Mail \; \ Windows Media Player \; \ Windows多媒体系统服务平台\; Windows Nt \; \ Windows Photo Viewer \; \ Windows Security \; \ Embedded Lockdown Manger \; \ Windows Journal \; \ MSBuild \; \ Reference Assemblies \; \ Windows Sidebar \; \ Windows Defender Advanced Threat Protection \; \ Microsoft \; \ Package Cache \; \ Microsoft Help \; 未数据加密的文件后缀目录,给出如图所示: .BAT;CMD;Com;CPL;的.dll;LNK;的.msc;的.msp;PIF;晶闸管;SYS;ghost;12.遍历文件目录文档13.数据加密满足条件的文档,给出如图所示:最先载入文档的內容,随后按给出方法数据加密:数据加密文件后缀名为[12-13]英语字母,给出如图所示:解 针对早已使用勒索软件的客户,提议尽早防护受感柒的服务器,由于沒有破译专用工具。深信,提示客户尽早搞好病毒检测和防御力对策,避免病毒感染大家族的勒索软件进攻。 病毒检测和杀毒 1.深信EDR商品,下一代防火墙和安全性认知服务平台及其别的网络安全产品都配置了病毒检测作用。布署有关商品的客户能够实行病毒检测