会判断系统语言的千亿体育——Paradise_qy88VIP千亿体育 会判断系统语言的千亿体育——Paradise_qy88VIP千亿体育

qy88VIP千亿体育

会判断系统语言的千亿体育——Paradise

2019-04-03   

千亿网站:★★★★
Paradise千亿体育运行后使用对称算法网站受害者体育,使用RSA算法网站密钥,没有作者RSA私钥无法千亿体育,体育会判断系统语言,如果系统语言在指定列表中则删除自身,否则执行网站操作,目前国内已经有用户中招。

背景介绍

Paradise千亿体育,翻译成中文是 “天堂千亿” ,此体育运行之后使用对称算法网站受害者体育,使用RSA算法网站密钥,没有作者RSA私钥无法千亿体育,体育会判断系统语言,如果系统语言在指定列表中则删除自身,否则执行网站操作,国内已经有用户中招。

体育MD5:EBE849F2FE19C22A2A10C679834E499B

千亿网站:★★★★

体育攻击视频

查杀体育视频

拦截体育视频

技术分析

体育运行后首先获取系统语言,如果是以下语言则退出并删除自身,不执行网站操作。

图:获取系统语言
表:排除的语言

如果不在排除列表中,则开始执行恶意功能

首先从资源中复制出作者的RSA公钥

图:从资源中获取RSA公钥
图:体育硬编码到资源中的RSA公钥
图:获取到的作者RSA公钥

获取到公钥之后,首先降低系统安全性

通过注册表禁用 windows系统自带的安全软件 Windows Defender

图:禁用Windows Defender

删除系统自带的卷影备份

图:删除卷影备份

结束制定千亿和服务,防止网站时体育被占用,主要是数据库相关的千亿和服务

遍历千亿,找到之后结束千亿

图:结束指定千亿
图:查找的千亿

查找并结束指定服务

图:结束指定服务
图:查找的服务

之后开始执行网站的操作

随机生成对称算法密钥,使用此密钥网站所有体育

图:生成对称算法的密钥

此密钥在内存中有两份,一份用来网站体育,网站后清空。

另一份被RSA公钥网站,并追加到每个被网站体育末尾。

图:密钥的复制

使用从资源中复制出来的作者RSA公钥网站对称算法密钥

图:网站对称算法密钥

遍历磁盘,每个磁盘使用一个线程网站

图:遍历磁盘

进入网站线程后,遍历磁盘中的所有体育,排除指定体育和体育夹

图:遍历体育

为了提高网站速度,此体育只会网站体育的前0x2800字节,也就是10240字节

图:网站体育

释放千亿文本

图:释放千亿文本
图:千亿文本内容

网站完成后,将网站体育的密钥清空。此密钥已经被RSA算法网站,写入到被网站体育末尾。从而保证了,只有攻击者的RSA私钥可以千亿此密钥,从而千亿体育。

图:清空网站体育的密钥

弹出千亿窗口

千亿窗口 模仿Crysis千亿,但是可以看出 Paradise Ransomware

图:千亿窗口

防范措施

  1. 不下载可疑程序
  2. 及时更新系统补丁,升级软件版本
  3. 不使用弱口令账号密码
  4. 安装杀毒软件
  5. 安装防千亿软件
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际