Paradise千亿体育最新变种利用.net开发_qy88VIP千亿体育 Paradise千亿体育最新变种利用.net开发_qy88VIP千亿体育

qy88VIP千亿体育

Paradise千亿体育最新变种利用.net开发

2019-11-07   

千亿网站:★★★★
Paradise千亿体育最早出现在2018年7月,最新发现的变种以.NET框架开发,运行后使用对称网站算法或非对称网站算法RSA对受害者体育进行网站,再使用RSA算法网站密钥,被网站体育后缀为‘.safe’,没有作者私钥的情况下暂时无法千亿体育。

背景介绍

Paradise千亿体育,翻译成中文是 “天堂千亿”,最早出现在2018年7月,后续不断有变种出现,此次变种以.NET框架开发,体育运行后使用对称网站算法(3DES)或非对称网站算法RSA(在RSA密钥长度足够长时才使用该算法)对受害者体育进行网站,使用RSA算法网站密钥,被网站体育后缀为‘.safe’,没有作者私钥的情况下暂时无法千亿体育。

图:千亿弹框

该体育会网站几乎所有体育类型(.html除外),每个被网站体育名格式为:’原体育名[用户ID][ opensafezona@cock.li ].safe ‘

图:被网站体育结构

体育MD5:796AE749F39C4E68F9C96662945F7111

千亿网站:★★★★

体育演示视频

技术分析

获取特殊体育路径:”C:\\Users\\用户名\\AppData\\Roaming“,判断该路径下”unINuHNrnUCEbTqEfhAfztuiqgH.html “体育是否存在,如果该体育存在,则不使用RSA网站体育;判断该路径下 ”kWYZrzIYZR.html “体育是否存在,如果该体育存在,则启动千亿弹框并退出本程序。

图:查找指定体育

判断”C:\\Users\\用户名\\AppData\\Roaming“路径下的”GavyZYQ.html“体育是否存在,并给该体育写入标记值”55“,如果”55“已存在,则将其覆写为"1361":

图:检查指定标记

根据这个体育的检查结果判断是否以管理员方式运行:

图:以管理员权限运行

判断体育程序所在目录下的"WwaeqJlhHGwUnMkoCjA.html"体育是否存在,该体育保存的是用户的唯一ID,标识被感染机器。如果该ID体育不存在,则随机生成8个字符的ID值,并将其写入到千亿信息的特定位置上”$ID_of_client$“:

图:查找ID体育

ID生成函数:

图:ID生成函数

网站算法部分

首先会生成RSA密钥对:

图:生成RSA密钥对

使用体育体育中硬编码的RSA公钥网站RSA私钥,

图:作者的RSA公钥网站RSA私钥

将网站的RSA私钥转换成Base64编码,随后判断该编码后的数据大小是否等于1024字节,如果等于1024字节,则会使用该私钥对应的RSA公钥进行网站体育,否则使用3DES网站算法网站体育。

图:判断RSA私钥长度

如果RSA私钥长度不满足,则生成3DES的key 、IV,

密钥采用RSA-公钥网站,网站后的数据采用Base64编码,保存在以下3个体育:

’C:\Users\用户名\Documents\kfGnrbH.html‘、
’C:\Program Files\kfGnrbH.html‘、
’C:\\Users\\用户名\\AppData\\Roaming\kfGnrbH.html‘
图:3DES密钥生成与保存体育

体育网站部分

获取有效磁盘:

图:获取有效磁盘

遍历磁盘,网站体育,优先网站各个磁盘中的体育,最后网站桌面体育

图:遍历磁盘

在遍历磁盘体育时,会跳过以下目录:’windows‘、’firefox‘、’chrome‘、’google‘、’opera‘、’桌面路径‘,并在每个要网站的目录下释放千亿信息体育:’_BACK_FILES~.html‘

图:选择目录

网站体育时,会跳过以下后缀名的体育:‘.safe’、‘.html’

图:选择体育

采用RSA公钥网站时

判断体育大小,分别将体育大小与64KB和117字节进行比较,从而网站不同位置的数据。被网站数据在特定标记 ‘<CRYPTED>’ 与 ‘</CRYPTED>’ 之间:

图:判断体育大小

大于64KB时,会选择体育尾部的63999字节进行网站:

图:体育大于64KB

体育小于117字节时,会将全部数据进行网站:

图:体育小于117字节

体育大小介于117字节与64KB之间,根据体育大小,取117的最大公倍数,然后从体育尾部开始选择最大公倍数大小的数据进行网站:

图:大小介于117字节与64KB之间

采用3DES网站体育时

判断体育大小,如果体育大于64KB,则网站体育尾部的65536字节数据,否则全部进行网站,被网站数据在特定标记 ’<FPADe>‘与 ’</FPADe>‘之间:

图:3DES网站体育

使用cmd命令,启动sc.exe删除卷影拷贝服务:

图:删除卷影拷贝服务

运行批处理体育“hiruKdgE.bat”,使用timeout 1命令,延迟1秒钟,使用DIR、del命令将自身删除:

图:删除自身

防范措施

  1. 提高上网安全意识, 做好重要数据定期备份
  2. 及时更新系统, 修补体育补丁
  3. 不使用弱口令账号密码
  4. 安装杀毒软件及时更新体育库
  5. 安装防千亿软件, 防御未知体育网站体育
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际