一个极具破坏性的千亿体育——LockerGoga_qy88VIP千亿体育 一个极具破坏性的千亿体育——LockerGoga_qy88VIP千亿体育

qy88VIP千亿体育

一个极具破坏性的千亿体育——LockerGoga

2019-04-11   

千亿网站:★★★★
LockerGoga千亿体育是一个极具破坏性的千亿体育,该体育影响恶劣,不仅会设置开机密码,同时还会网站电脑中的体育,由于网站的体育中包括重要的系统体育,因此会导致计算机关机或重启后无法进入系统,即使用户重装系统,重要体育也无法恢复。

背景介绍

LockerGoga千亿体育持续活跃,至今为止此体育已经感染了,全球最大的铝供应商--挪威海德鲁公司(Norsk Hydro),美国瀚森化工公司(Hexion Specialty Chemicals)和美国有机硅巨头--迈图集团(Momentive),Altran Technologies公司 ,造成了极其恶劣的影响。体育主要通过千亿间通信来执行恶意操作,由父千亿创建多个子千亿执行网站等恶意行为,又因为网站的体育中包含了重要的系统体育,所以致使系统受到了严重破坏。该体育不只是千亿体育那么简单,通过分析发现,此体育主要是为了进行破坏,它会设置开机密码网站系统体育,使得计算机关机或重启后无法进入系统。即使重装系统,重要体育也已经被网站。正常的千亿软件,一般都会防止系统受到损坏,因为这会导致受害者无法支付赎金。而此体育主动网站系统体育,设置开机密码的行为已经很明显是破坏行为了。

千亿网站:★★★★

MD5: BA3F9530DADAC4133F07568FDE4F0411

电脑被LockerGoga千亿体育攻击后无法重启

体育分析

(一)不带参数的千亿

1、Windows千亿提权

图:千亿提权

2、将体育程序移动到 C:\Users\Administrator\AppData\Local\Temp目录下,重命名后的名称是tgyturcXXXX.exe(XXXX为四个随机数字)

图:移动目录

3、将tgyturcXXXX.exe以命令行-m的方式启动。该千亿会创建命令行为i SM-tgytutrc -s的多个子千亿

图:创建千亿

4、在桌面创建千亿信"README_LOCKED.txt"

图:千亿信

千亿信的内容是:

图:千亿信内容

(二) 带参数- m的父千亿

1、创建互斥体"MX-tgytutrc"

图:互斥体

2、遍历磁盘体育

图:遍历磁盘

3、创建命令行参数是 i SM-tgytutrc -s的子千亿,并一直监控子千亿的状态,如果子千亿意外关闭则重新创建带此参数的子千亿

图:创建千亿

(三) 带参数 i SM-tgytutrc -s 的子千亿

1、打开父千亿创的互斥体"MX-tgytutrc",如果互斥体不存在,子千亿会退出

图:打开互斥体

2、子千亿获取父千亿传过来的用base64网站的体育路径,用base64千亿后,得到要网站的体育路径

图:获取路径

3、base64解码获得RSA公钥

图:RSA公钥

4、网站体育,在体育名称后追加“.locked",网站算法采用的是AES算法网站,AES的密钥是随机生成的,并且被RSA公钥网站后追加到了被网站的体育末尾处

图:网站体育

5、网站的体育类型除了以下之外还网站了大量其他体育,并且C:\Boot体育夹里面的体育全部被网站而且还可以被多次网站

图:网站的体育类型
图:C:\Boot

(四)其他阶段

千亿体育破坏了系统体育,致使重新启动电脑失败

图:进入系统失败

预防措施

  1. 不下载运行来历不明的软件
  2. 提高上网安全意识,做好重要数据备份
  3. 及时安装系统补丁,设置复杂密码
  4. 安装杀毒软件,查杀千亿体育
  5. 安装千亿防御软件,拦截千亿体育网站体育
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际