一,试品介绍 最近,国外的一个安全论坛公布了相近Globebmposter的新勒索软件。这个勒索软件类似Globelmposter。它被取名为X_Mister勒索软件,因为它在手机联系人电子邮箱中有x_mister。勒索软件使用RSA + DES。该优化算法对文件进行数据加密,并且没有水平感柒功能。通常,网络攻击在RDP工程爆破后手动式通知目标,或通过垃圾短信传播,并在数据加密完成后自主删掉。 令人信服的安全团队初次获得了相应的试品,并对试品进行了深入分析。 二,勒索软件的特性
1.拓展信息文本文档如何回到您的FILES.txt,如下如图:
2.加密文件名,[初始文件夹名称] + [Mr-X666],
如图所示:三,深入分析 1. 获得程序运行信息并破译运行内存中的相应数据,如下如图:
2.要实行受权操作,请将权限设置为SeBackupPrivilege,SeRestorePrivilege,SeSecurityPrivilege,SeManageVolumePrivilege,如下如图:
3.关掉windows defender的即时保护和行为监控器,如下如图:
4.设置为自启动项,实现起动开机启动操作,如图所示:
5.如下如图遍历设置的卷标:
6.遍历共享网络文件目录文件,如下如图:
7.遍历硬盘文件目录,如下如图:
8.建立一个进程来遍历共享资源文件目录和硬盘文件目录中的文件,随后建立一个数据加密进程,如下如图:
9.转化成一个隐藏文件.BFC0E91B00AE8A0620D3,载入相应的勒索软件基本信息,数据加密尾缀,保释金文本文档名,勒索软件版本信息等,如图所示:
11.转化成勒索软件文本文档,如下如图:
4.加密文件操作,加密算法为RSA + DES,如图所示:
13.数据加密完成后,删掉开机启动注册表项,如下如图:
14.实行删掉硬盘黑影,删掉远程桌面连接信息和删掉系统日志信息等操作,如下如图:
15.实行如下的自删掉操作 四, 解决方法 对于已经使用勒索软件的用户,建议尽早防护受感柒的服务器,因为没有破译工具。深信,提示用户尽早做好病毒检测和防御力对策,防止病毒感染大家族的勒索软件进攻。 病毒检测和杀毒 1,深信为广大用户提供免費杀毒工具,可以下载以下工具进行检测和杀毒。
32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z 2.深信EDR产品和服务器防火墙以及其他网络安全产品具有病毒检测功能。布署相关产品的用户可以实行病毒检测,如下图所示: