又一使用.net开发的千亿体育出现——Prodecryptor千亿体育_qy88VIP千亿体育 又一使用.net开发的千亿体育出现——Prodecryptor千亿体育_qy88VIP千亿体育

qy88VIP千亿体育

又一使用.net开发的千亿体育出现——Prodecryptor千亿体育

2019-05-07   

千亿网站:★★★★
Prodecryptor千亿体育使用.net开发, 使用AES算法网站体育, 使用RSA算法网站秘钥, 成熟的.net网站算法库。没有攻击者私钥的情况下无法千亿体育。要求受害者通过电子邮箱联系攻击者, 支付一定数额的比特币千亿。

背景介绍

近日捕获到Prodecryptor千亿体育, 此体育的编译时间是今年的4月26日。与之前所报道的FilesLocker千亿、Satyr千亿、BlackRouter千亿都是使用.net开发, 并且网站代码也十分相似。 使用AES算法网站体育, 使用RSA算法网站秘钥, 成熟的.net网站算法库。没有攻击者私钥的情况下无法千亿体育。要求受害者通过电子邮箱联系攻击者, 支付一定数额的比特币千亿。

体育MD5:70745C6D104C8AE717C9C3C0F315304A

千亿网站:4星 ★★★★

体育演示视频

技术分析

该千亿体育由.Net编写, 通过反编译可以清晰看到程序的执行逻辑.

图:清晰的执行代码

程序生成133字节的随机字符串作为AES-32bit的摘要数据块。

将作者的RSA公钥导入, 网站133字节随机字符串数据。

图:RSA网站

计算133字符串的16字节Hash值, 将Hash值重复组合为32字节作为AES-KEY来网站体育

图:AES网站

修改体育的扩展名为Prodecryptor

图:修改扩展名

网站的体育格式如下:

exe, der, pfx, key, crt, csr, p12, pem, odt, sxw, stw, 3ds, max, 3dm, ods, sxc,
stc, dif, slk, wb2, odp, sxd, std, sxm, sqlite3, sqlitedb, sql, accdb, mdb, dbf,
odb, mdf, ldf, cpp, pas, asm, cmd, bat, vbs, sch,jsp, php, asp, java, jar, class,
mp3, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mp4, mkv, flv, wma, mid,
m3u, m4u, svg, psd, tiff, tif, raw, gif, png, bmp, jpg, jpge, iso, backup, zip,
rar, tgz, tar, bak, ARC, vmdk, vdi, sldm, sldx, sti, sxi, dwg, pdf, wkl, wks,
rtf, csv, txt, msg, pst, ppsx, ppsm, pps, pot, pptm, pptx, ppt, xltm, xltx, xlc,
xlm, xlt, xlw, xlsb, xlsm, xlsx, xls, dotm, dot, docm, docx, doc, ndf, pdf, ib,
ibk, bkp, sdk

优先网站的路径:

C:\\Users\\mz\\Desktop
C:\\Users\\mz\\Documents
C:\\Users\\mz\\Music
C:\\Users\\mz\\AppData\\Local\\Microsoft\\Windows\\History
C:\\Users\\mz\\Downloads
C:\\Users\\mz\\Pictures
C:\\Users\\mz\\Videos
C:\\Users\\mz\\Music
C:\\User\\mz
C:\\Users\\mz\\Favorites
C: \\ProgramData
C:\\Users

获得有效磁盘, 对磁盘依次遍历, 并网站体育.

图:遍历磁盘网站

创建CMD删除卷影拷贝, "cmd.exe /c vssadmin.exe delete shadows /all /quiet"。

图:删除卷影拷贝

在所有磁盘根目录以及桌面创建千亿文本ReadME-Prodecryptor@gmail.com.txt.

图:千亿文本消息

最后, 恶意程序弹窗出一个千亿窗口.

图:网站完成弹窗千亿

防范措施

  1. 千亿体育通常伪装为常用软件、播放器等传播。因此用户要避免下载可疑体育
  2. 对于可疑的邮件附件也不要轻易打开
  3. 及时安装系统补丁,防止攻击者通过体育攻击,植入体育
  4. 不使用弱口令密码,防止被攻击者暴力破解
  5. 安装杀毒软件保持防护开启
  6. 安装千亿防御软件
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际