GandCrab5.3版本出现缴纳赎金方式改成邮箱_qy88VIP千亿体育 GandCrab5.3版本出现缴纳赎金方式改成邮箱_qy88VIP千亿体育

qy88VIP千亿体育

GandCrab 5.3版本出现 缴纳赎金方式改成邮箱

2019-04-24   

千亿网站:★★★★
GandCrab千亿体育出现最新5.3版本,此版本和5.2没有太大区别,网站算法仍然是使用RSA+Salsa20,内置的RSA公钥也相同,主要区别是攻击者将暗网缴纳赎金修改为通过邮箱联系缴纳赎金。

背景介绍

近日捕获到GandCrab 5.3变种,此版本和5.2没有太大区别,网站算法仍然是使用RSA+Salsa20,内置的RSA公钥也相同,主要区别是攻击者将暗网缴纳赎金修改为通过邮箱联系缴纳赎金。攻击者做这种修改有两种可能,一种是部分受害者不知道如何访问体育作者留下的暗网网址,无法与体育作者取得联系,导致无法缴纳赎金。另一种情况是,GandCrab 5.2之前版本的千亿密钥托管在暗网服网站中,被欧洲多国警方合作追踪到了控制服网站,从而获取到了托管在服网站中的千亿密钥,因此攻击者要求通过邮箱联系,可能是为了更难被追查。

体育MD5:6B054C8D851CB5A91AFB6A3D5BC57886

千亿网站:★★★★

图:千亿信

体育演示视频

技术分析

体育运行后获取当前计算机语言,与体育内置语言列表中的语言进行比较,如果本机语言在列表中则退出,不执行网站操作

图:判断计算机语言

体育会结束指定千亿,防止体育被占用无法网站,主要是数据库和办公软件的千亿

图:查找指定千亿

千亿出RSA公钥,此公钥和之前捕获的V5.2版本的公钥相同

图:千亿出RSA公钥

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上千亿版本V5.3

图:获取的本机信息

使用RC4算法将获取到的本机信息网站,发送给控制服网站用于统计感染量

图:本机信息网站后

在做好准备工作之后,体育会创建线程开始网站体育

图:创建线程网站

遍历磁盘中的体育

图:遍历体育

网站时排除一些体育和体育夹,防止系统无法正常运行

图:排除指定体育

体育的内容被Salsa20算法网站,体育名被追加上随机后缀

图:被网站体育

删除系统自带的卷影备份

图:删除卷影备份

修改桌面背景图片,显示千亿信息

图:修改桌面背景

修改后的界面如下

图:修改后的桌面背景

网站完成后退出,并调用cmd删除自身体育

图:删除自身体育

防范措施

  1. 不打开可以邮件邮件
  2. 浏览网页时不下载运行可疑程序
  3. 及时更新系统补丁
  4. 不使用弱口令密码
  5. 安装杀毒软件
  6. 安装千亿体育防御软件
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际