破坏系统+网站体育的高危体育来袭国外大量公司已中招_qy88VIP千亿体育 破坏系统+网站体育的高危体育来袭国外大量公司已中招_qy88VIP千亿体育

qy88VIP千亿体育

破坏系统+网站体育的高危体育来袭 国外大量公司已中招

2019-04-11   

近日,qy88VIP安全专家捕获到一个极具破坏性的千亿体育LockerGoga,该体育影响恶劣,不仅会设置开机密码,同时还会网站电脑中的体育,由于网站的体育中包括重要的系统体育,因此会导致计算机关机或重启后无法进入系统,即使用户重装系统,重要体育也无法恢复。

近日,qy88VIP安全专家捕获到一个极具破坏性的千亿体育LockerGoga,该体育影响恶劣,不仅会设置开机密码,同时还会网站电脑中的体育,由于网站的体育中包括重要的系统体育,因此会导致计算机关机或重启后无法进入系统,即使用户重装系统,重要体育也无法恢复。

电脑被网站后无法重启

据媒体报道,目前国外大量公司均已遭受攻击,其中包括全球最大的铝供应商挪威海德鲁公司Norsk Hydro(损失逾4千万)、美国瀚森化工公司Hexion Specialty Chemicals、美国有机硅巨头迈图集团Momentive、Altran Technologies公司等。

qy88VIP安全专家通过进一步分析发现,LockerGoga千亿体育之所以很危险,是因为它不仅会网站体育进行千亿,而且还会破坏操作系统,这种行为与常见的千亿体育截然不同,可以说具有明显的恶意攻击意图。

目前,根据qy88VIP监测数据显示,暂未发现该体育在国内的大规模攻击体育,安全专家提醒广大用户提前做好以下防御措施,以防LockerGoga千亿体育发起恶意攻击。

防御措施

  1. 不下载运行来历不明的软件。
  2. 提高上网安全意识,做好重要数据备份。
  3. 及时安装系统补丁,设置复杂密码。
  4. 安装杀毒软件,保持防护开启,查杀千亿体育。
  5. 安装千亿体育防御软件,拦截千亿体育网站体育。

应急措施

  1. 已中毒机器断网,防止感染其它机器。
  2. 已中毒机器重装系统。
  3. 未中毒机器安装杀软。
  4. 未中毒机器安装qy88VIP体育,千亿防御软件。
  5. 未中毒机器及时备份重要体育。

体育分析

一、不带参数的千亿

1、Windows千亿提权。

图:千亿提权

2、将体育程序移动到C:\Users\Administrator\AppData\Local\Temp目录下,重命名后的名称是tgyturcXXXX.exe(XXXX为四个随机数字)。

图:移动目录

3、将tgyturcXXXX.exe以命令行-m的方式启动。该千亿会创建命令行为i SM-tgytutrc -s的多个子千亿。

图:创建千亿

4、在桌面创建千亿信"README_LOCKED.txt"。

图:千亿信息
图:千亿信内容

二、带参数- m的父千亿

1、创建互斥体"MX-tgytutrc"。

图:互斥体

2、遍历磁盘体育。

图:遍历磁盘

3、创建命令行参数是 i SM-tgytutrc -s的子千亿,并一直监控子千亿的状态,如果子千亿意外关闭则重新创建带此参数的子千亿。

图:创建千亿

三、带参数 i SM-tgytutrc -s的子千亿

1、打开父千亿创的互斥体"MX-tgytutrc",如果互斥体不存在,子千亿会退出。

图:打开互斥体

2、子千亿获取父千亿传过来的用base64网站的体育路径,用base64千亿后,得到要网站的体育路径。

图:获取路径

3、base64解码获得RSA公钥。

图:RSA公钥

4、网站体育,在体育名称后追加“.locked",网站算法采用的是AES算法网站,AES的密钥是随机生成的,并且被RSA公钥网站后追加到了被网站的体育末尾处。

图:网站体育

5、网站的体育类型除了以下之外还网站了大量其他体育,并且C:\Boot体育夹里面的体育全部被网站而且还可以被多次网站。

图:网站的体育类型
图:C:\Boot

四、其他阶段

千亿体育破坏了系统体育,致使重新启动电脑失败。

图:进入系统失败
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际