<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基网 首页 资讯 安全报 查看内容

              破坏系统+加密文件的高危病毒来袭 国外大量公司已中招

              2019-4-11 14:52| 投稿: xiaotiger |来自: 互联网


              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载?#22351;?#20043;处请从网站右下角联系我们处理,谢谢合作!

              摘要: 近日,瑞星安全专家捕获到一个极具破坏性的勒索病毒LockerGoga,该病毒影响恶劣,不仅会设置开机密码,同时还会加密电脑中的文件,由于加密的文件中包括重要的系统文件,因此会导致计算机关机或重启后无法进入系统,即使用户重装系统,重要文件也无法恢复。图:电脑被加密后无法重启据媒体报道,目前国 ...

              近日,瑞星安全专家捕获到一个极具破坏性的勒索病毒LockerGoga,该病毒影响恶劣,不仅会设置开机密码,同时还会加密电脑中的文件,由于加密的文件中包括重要的系统文件,因此会导致计算机关机或重启后无法进入系统,即使用户重装系统,重要文件也无法恢复。

              图:电脑被加密后无法重启

              据媒体报道,目前国外大量公司均已遭受攻击,其中包括全球最大的铝供应商挪威海德鲁公司Norsk Hydro(损失逾4千万)、美国瀚森化工公司Hexion Specialty Chemicals、美国有机硅巨头迈图集团Momentive、Altran Technologies公司?#21462;?/p>

              瑞星安全专家通过进一步分析发现,LockerGoga勒索病毒之所?#38498;?#21361;险,是因为它不仅会加密文件进行勒索,而?#19968;?#20250;破坏操作系统,这?#20013;?#20026;与常见的勒索病毒截然不同,可以说具有明显的恶意攻击意图。

              目前,根据瑞星监测数据显示,暂未发现该病毒在国内的大规模攻击事件,安全专家提醒广大用户提前做好以下防御措施,以防LockerGoga勒索病毒发起恶意攻击。

              防御措施

              1、不下载运行来历不明的软件。

              2、提高上网安全意识,做好重要数据备份。

              3、及时安装系统补丁,设置复杂密码。

              4、安装杀毒软件,保持防护开启,查杀勒索病毒。

              5、安装勒索病毒防御软件,拦截勒索病毒加密文件。

              应急措施

              1、已中毒机器断网,防止感染其它机器。

              2、已中毒机器重装系统。

              3、未中毒机器安装杀软。

              4、未中毒机器安装瑞星之剑,勒索防御软件。

              5、未中毒机器及时备份重要文件。

              病毒分析

              一、不带?#38382;?#30340;进程

              1、Windows进程提权。

              图:进程提权

              2、将病毒程序移动到C:\Users\Administrator\AppData\Local\Temp目录下,重命名后的名称是tgyturcXXXX.exe(XXXX为四个随机数字)。

              图:移动目录

              3、将tgyturcXXXX.exe以命令行-m的方式启动。该进程会创建命令行为i SM-tgytutrc -s的多个子进程。

              图:创建进程

              4、在桌面创建勒索信"README_LOCKED.txt"。

              图:勒索信息


              图:勒索信内容

              二、带?#38382;? m的父进程

              1、创建互斥体"MX-tgytutrc"。

              图:互斥体


              2、遍历磁盘文件。

              图:遍历磁盘


              3、创建命令行?#38382;?#26159;i SM-tgytutrc -s的子进程,并一直监控子进程的状态,如果子进程意外关闭则重新创建带此?#38382;?#30340;子进程。

              图:创建进程


              三、 带?#38382;齣 SM-tgytutrc -s的子进程

              1、打开父进程创的互斥体"MX-tgytutrc",如果互斥体不存在,子进程会退出。


              图:打开互斥体

              2、子进程获取父进程传过来的用base64加密的文件路径,用base64解密后,得到要加密的文件路?#19969;?/p>

              图:获取路径


              3、base64解码获得RSA公钥。

              图:RSA公钥


              4、加密文件,在文件名称后追加“.locked",加密算法采用的是AES算法加密,AES的密钥是随机生成的,并且被RSA公钥加密后追加到了被加密的文件末尾处。

              图:加密文件


              5、加密的文件类?#32479;?#20102;以下之外还加密了大量其他文件,并且C:\Boot文件夹里面的文件全部被加密而?#19968;?#21487;以被多次加密。


              图:加密的文件类型


              图:C:\Boot


              四、其他阶段

              勒索病毒破坏了系统文件,致使重新启动电脑失败。

              图:进入系统失败




              小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培?#21040;?#31243;免费学,让您少走弯路、事半功倍,好工作升职加?#21073;?/font>

              本文出自:https://www.toutiao.com/a6678465128242872845/

              免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载?#22351;?#20043;处请从网站右下角联系我们处理,谢谢合作!


              鲜花

              ?#24080;?/a>

              雷人

              路过

              鸡蛋

              相关阅读

              最新评论

               最新
              返回顶部
              十一选五奖金对照表 甘肃11选5开奖结果61 排列三走势图连线专业版 新疆喜乐彩走势图 甘肃快三游戏开奖号码 大乐透走势图带坐标连线出来 极速十一选五直选 福建快三一定牛其本走 家彩开奖千禧3d试机号开机号三 高级版二肖中特 新疆11选5开奖结果遗漏 上海基诺开奖号码 2012牌九千术 爱奇艺德州扑克美女 山东十一运夺金预测 江恩推算双色球蓝球