游戏防护_能不能防止_高防cdn试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 游戏防护_能不能防止_高防cdn试用

游戏防护_能不能防止_高防cdn试用

小墨安全管家 2021-04-08 21:03 高防CDN 89 ℃
DDoS防御
脸谱网0linkedin0推特0阅读时刻:约7分钟。勒索软件并不是啥新奇事,但上周出如今横梁上的一具乌克兰勒索软件特洛伊木马表明,"支付"的概念能够扩展到银行或金融以外的服务。在这种事情下,特洛伊木马(我们和其他几家AV公司称之为特洛伊木马勒索克罗滕)完全锁定受感染的系统,接着要求向乌克兰挪移电话提供商Kyivstar支付信用卡,接着受害者必须将信用卡转入恶意软件分销商的账户。是的,爱丽丝,黑客要你付他的手机费。一旦勒索软件占领了受害者的电脑,它会以几十种不同的方式锁定操作系统,并且还会更改几个注册表项,在IE的标题栏以及桌面和文件夹中的其他地点添加稚嫩、亵渎的文本。在这些案件中支付赎金不过让恶意软件制造者胆子更大,然后他的犯罪狂潮。固然,即使受害者假设支付了这笔赎金,也无法保证恶意软件发行商有任何办法来扭转这种平淡无奇的特洛伊木马程序所造成的伤害——这种伤害表现为相当程度的麻烦。幸运的是,关于受害者来讲,那个特洛伊木马的制造者并不是盒子里最锋利的钉子。我们不仅可以轻松地梳理出特洛伊木马的有效负载并添加特征码,以防止木马将其有效负载文件传送到受害者的计算机,而且我们可以确切地看到作者(无效地)怎么试图挫败我们和其他防病毒供应商执行的行为分析。所讨论的Krotten示例是一具名为谈天治理员.exe. 自从10月份的反病毒文件中浮上了它的通用特征码,当它第一次出如今我们的勒索软件中。一位研究人员认真查看了那个文件,当他看到特洛伊木马在其行为过程中表现出的异常愚蠢的程度时,引起了我的注意。在虚拟机上,当您试图运行该程序时,该程序就会退出。可是,在实际的物理测试硬件上,程序会释放有效负载,在大约8秒钟内锁定机器,接着重新引导系统。程序的大部分工作是在Windows注册表中设置键。它设置的很多密钥被系统治理员用于组策略,以锁定大型公司中的系统。该特洛伊木马程序设置了40多个键来禁用Windows资源治理器中的各种功能,大多数用户都不大概思量这些功能,例如打开"开始"菜单、关闭打开的窗口、使用"运行"对话框、打印、打开文件或做任何事。此外,特洛伊木马设置软件限制策略,阻挠大多数应用程序运行。相反,您会看到一具对话框,该对话框如下所示。另一具麻烦来自用户界面的改变。特洛伊木马程序设置的其中一具键会更改Windows在系统托盘和文件夹内详细信息视图中显示时刻的方式。而不是时刻,windows会在正常时刻浮上的任何地点用俄语显示诅咒词。另一具注册表项在Internet Explorer的标题栏中添加了一行文本,在通过审查的翻译中,它在所有IE窗口的顶部显示以下内容:我的(男性解剖学)烂了,(女性解剖学)被宠坏了,(女性解剖学)切割器在我(背部)。当计算机重新启动后,Windows会显示一具对话框,如下所示:关于那些不大概讲俄语的人,下面是我们一位说俄语的工程师提供的粗略翻译:为了在不丢失所有信息的事情下恢复计算机的正常功能!为了省钞票,给我发个电子邮件xxxx@xxx.xxx,以及用30格里夫纳补充Kyivstar账户的代码。在24小时内,您将收到一封电子邮件,其中包含从您的计算机中删除此程序的文件。在这种事情下,30格里夫纳(乌克兰的国家货币,也叫格里夫尼亚)值3美元94美分。嘿,勒索软件真廉价。可能作者在写完这部艺术作品之前刚看完电影《更好的日子》,接着想,嘿,DDoS防御,这个报童有一具狡猾的商业打算。计算机还会启动Internet Explorer,并从网站打开一具网页烂网一张萨达姆之子乌代·侯赛因血淋淋、残缺不全的死后照片。固然,因为特洛伊木马设置了阻挠你关闭打开的窗口的策略键,这张害怕的照片只会直视你的脸。保持优雅,勒索软件作者。但可笑的是,通过认真分析,木马作者显然是用一具名为Sign 0f troush(或仅S0M)的免费工具编写代码,该工具用于应用程序编程,就像戴尔配置器构建PC一样。我们发觉这特别可笑,因为只要不费吹灰之力,任何人都能够将用S0M编写的程序重新插入程序的界面,S0M只显示程序使用的所有过程。例如,特洛伊木马的作者内置了一种安全机制:假如名为290564175.txt的文件位于系统的C:驱动器的根名目中,则特洛伊木马程序将停止执行并退出。我们能够看到,暂时程序是怎么工作的。该程序检查多个注册表项,以查看Windows是否在虚拟环境中运行。如今,我们往常在特别多恶意软件中都见过这种行为,但从来没有像如此摆在我们面前。于是我要谢谢恶意软件作者给我们的威胁研究小组一具注册表项的列表,他们应该在他们用于研究的虚拟机上修改。这些钥匙包括:香港本地机器硬件_HKEY U本地机器硬件ACPIDSDTVboxHKEY\U本地机器系统操纵集001枚举磁盘虚拟硬盘硬盘[0]\uUuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuufwr10003HKEY\U本地机器系统操纵集001枚举磁盘虚拟磁盘1____假如这些键都不存在,特洛伊木马会然后删除启动11个防病毒产品的注册表项,接着删除并执行一具已分成6个段的自解压存档。存档将这些段放在一起,接着再展开五个有效负载,每个负载都有一具特定的任务:例如,一具删除重新启动计算机的批处理文件;一具设置策略注册表项;一具监视系统,假如受害者设法恢复任何策略键,则重置这些键。几乎所有的研究报告都写上了"痛苦"的标记,这使得研究对所有参与研究的人来讲都更加容易。有效载荷还包括自动运行.inf文件,放在C:驱动器的根名目中,该驱动器在启动时运行恶意负载,CC防御,以及将110个不同域重定向到的主机文件烂网,包括防病毒软件供应商用于更新、Web邮件服务和其他网站的,似乎是,流行于俄罗斯和乌克兰。但即使在那个地点,作者依旧搞砸了:他创建了两个条目来阻挠对Virustotal的访咨询,这是一项免费服务,任何人都能够经过多个AV引擎扫描未知文件。然而Hosts文件中的一具错误意味着,CC防御,即使受害者无法扫瞄到virustotal.com网站即使是被感染的域名,他也能够在那个域名上加上有价值的前缀。总的来讲,这是一具娱乐性和启示性的幕后窥视。我们的引擎不仅可以阻挠文件到达文件系统并清理被感染的盒子,而且技术水平普通的用户还能够使用免费的工具,如GMER,DDoS防御,经过命令行在安全模式下运行的计算机上启动,手动删除讨厌的文件和注册表项。对于作者博客职员Webroot博客提供专家对最新网络安全趋势的见解和分析。不管您是家庭用户依旧企业用户,我们都致力于为您提供在当今网络威胁面前保持率先所需的意识和知识。脸谱网0linkedin0推特0

游戏防护_能不能防止_高防cdn试用


DDoS防御

当前位置:主页 > 高防CDN > 游戏防护_能不能防止_高防cdn试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119