5.2之前版本的解密密钥托管在暗网服务器中,瑞

来源:http://www.fengfeiyuan.com 作者:天天头条 人气:190 发布时间:2019-10-08
摘要:近日,瑞星最新截获了一款名为Anatova的勒索病毒,该病毒十分狡猾,伪装成知名游戏《克苏鲁的呼唤》(TheCall ofCthulhu)或其他应用,欺骗用户下载。一旦中招,它就会加密用户文件,

近日,瑞星最新截获了一款名为Anatova的勒索病毒,该病毒十分狡猾,伪装成知名游戏《克苏鲁的呼唤》(The Call of Cthulhu)或其他应用,欺骗用户下载。一旦中招,它就会加密用户文件,并且删除10次系统自带备份,要求用户支付一笔不菲的赎金才可以解密文件。由于这款病毒使用了非对称算法加密密钥,所以在没有攻击者密钥的情况下无法解密文件。目前,瑞星ESM及瑞星之剑等产品均可对该病毒进行防御和查杀,避免用户文件被病毒加密。

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种,此版本延续了5.2版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种,此版本延续了5.2版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

图片 1

图片 2

图片 3

图:勒索信息支付赎金方式改为邮件

图:勒索信息支付赎金方式改为邮件

图:Anatova勒索病毒伪装成游戏或其他应用

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对GandCrab 5.3勒索病毒进行查杀,瑞星之剑可以有效拦截该勒索病毒。

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种,此版本延续了5.2版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

图片 4

图片 5

图片 6

图:瑞星ESM与瑞星之剑成功拦截截图

图:瑞星ESM与瑞星之剑拦截查杀截图

图:勒索信息支付赎金方式改为邮件

技术分析

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

Anatova勒索病毒的恶意攻击者选择了不太出名的DASH这款加密货币作为付款方式,而2018年影响较大的GandCrab勒索病毒也选择要求通过这种货币支付。不仅如此,它们还都使用 Salsa20+RSA算法加密,都会检测系统语言,并且排除独联体国家。这是到底巧合还是有其他原因呢?目前我们尚不清楚这两个病毒作者之间的关系。

勒索病毒GandCrab 5.3运行后获取当前计算机语言,与病毒内置语言列表中的语言进行对比,如果本机语言在列表中则退出,不执行加密操作。

瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对GandCrab 5.3勒索病毒进行查杀,瑞星之剑(下载地址:

目前,美国受到Anatova勒索病毒的影响较大。此外,在比利时、德国、法国、英国和其他欧洲国家也相继发现了这个勒索病毒。虽然暂时还没有发现此病毒通过漏洞和弱口令传播,但是该病毒加密技术成熟,可以看出是由具备专业编程技能的黑客设计开发的,想要对Anatova勒索病毒展开分析和解密相当困难。因此,不排除未来此病毒的变种增加钓鱼邮件、漏洞、弱口令等方式进行攻击的可能,带来的威胁不可小觑。

图片 7

图片 8

瑞星安全专家提醒广大用户,此病毒目前主要通过伪装游戏和正常软件传播,因此不下载可疑文件可以很大程度防止中毒。除此之外,采取以下防御措施,可防止更多类似病毒的攻击:

图:判断计算机语言

图:瑞星ESM与瑞星之剑拦截查杀截图

1、不下载可疑程序。

病毒会结束指定进程,防止文件被占用无法加密,主要是针对数据库和办公软件的进程。

技术分析

2、不打开来源不明的邮件。

图片 9

勒索病毒GandCrab 5.3运行后获取当前计算机语言,与病毒内置语言列表中的语言进行对比,如果本机语言在列表中则退出,不执行加密操作。

3、及时更新系统补丁。

图:查找指定进程

图片 10

4、及时修改系统密码,避免使用过于简单的密码。

解密出RSA公钥,此公钥和之前捕获的V5.2版本的公钥相同。

图:判断计算机语言

5、安装杀毒软件,保持防护开启,查杀病毒。

图片 11

病毒会结束指定进程,防止文件被占用无法加密,主要是针对数据库和办公软件的进程。

6、安装勒索病毒防御软件,拦截病毒加密文件。

图:解密出RSA公钥

图片 12

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上勒索版本V5.3。

图:查找指定进程

图片 13

解密出RSA公钥,此公钥和之前捕获的V5.2版本的公钥相同。

图:获取的本机信息

图片 14

使用RC4算法将获取到的本机信息加密,发送给控制服务器用于统计感染量。

图:解密出RSA公钥

图片 15

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上勒索版本V5.3。

图:加密后的本机信息

图片 16

在做好准备工作之后,病毒会创建线程开始加密文件。

图:获取的本机信息

图片 17

使用RC4算法将获取到的本机信息加密,发送给控制服务器用于统计感染量。

图:创建线程加密

图片 18

遍历磁盘中的文件。

图:加密后的本机信息

图片 19

在做好准备工作之后,病毒会创建线程开始加密文件。

图:遍历文件

图片 20

加密时排除一些文件和文件夹,防止系统无法正常运行。

图:创建线程加密

图片 21

遍历磁盘中的文件。

图:排除指定文件

图片 22

文件的内容被Salsa20算法加密,文件名被追加上随机后缀。

图:遍历文件

图片 23

加密时排除一些文件和文件夹,防止系统无法正常运行。

图:被加密文件

图片 24

删除系统自带的卷影备份。

图:排除指定文件

图片 25

文件的内容被Salsa20算法加密,文件名被追加上随机后缀。

图:删除卷影备份

图片 26

修改桌面背景图片,显示勒索信息。

图:被加密文件

图片 27

删除系统自带的卷影备份。

图:修改桌面背景

图片 28

图片 29

图:删除卷影备份

图:修改后的桌面背景

5.2之前版本的解密密钥托管在暗网服务器中,瑞星安全专家捕获到最新勒索病毒GandCrab。修改桌面背景图片,显示勒索信息。

加密完成后退出,并调用cmd删除自身文件。

图片 30

图片 31

图:修改桌面背景

图:删除自身文件

图片 32

防范措施:

图:修改后的桌面背景

1、不打开陌生或可疑邮件,不下载邮件附件。

加密完成后退出,并调用cmd删除自身文件。

2、浏览网页时不下载运行可疑程序。

图片 33

3、及时更新系统、漏洞补丁。

图:删除自身文件

4、不使用弱口令密码。

防范措施:

5、多台机器不使用相同密码。

1、不打开陌生或可疑邮件,不下载邮件附件。

6、安装杀毒软件及时更新病毒库。

2、浏览网页时不下载运行可疑程序。

7、安装防勒索软件,防止未知病毒变种加密文件。

3、及时更新系统、漏洞补丁。

4、不使用弱口令密码。

5、多台机器不使用相同密码。

6、安装杀毒软件及时更新病毒库。

7、安装防勒索软件,防止未知病毒变种加密文件。

本文由澳门新葡亰平台游戏发布于天天头条,转载请注明出处:5.2之前版本的解密密钥托管在暗网服务器中,瑞

关键词:

最火资讯