zoukankan      html  css  js  c++  java
  • [转]当勒索病毒“不图财”时会图什么?

    众所周知,勒索病毒通过加密受害人电脑里的重要文件来进行勒索,通常要求受害人支付比特币才能解锁文件,然而最近国外出现一款新型的勒索病毒PewCrypt,当受害人感染该病毒后,并不要求受害者支付金钱或比特币,而是……

    • 概述

    众所周知,勒索病毒通过加密受害人电脑里的重要文件来进行勒索,通常要求受害人支付比特币才能解锁文件,最近国外出现一款新型的勒索病毒PewCrypt (由于加密后缀为PewCrypt所以我们命名其为PewCrypt勒索者),当受害人感染该病毒后,并不要求受害者支付金钱或比特币而是要求受害人订阅YouTube网站上的一个频道PewDiePie,当该频道订阅量达到一亿后作者才会公布解密工具,但是当另外一个频道T-Series的订阅量超过PewDiePie时,该勒索软件作者将不会公布相关解密工具。

    根据查询发现,PewDiePie和T-Series两个频道在争夺YouTube网站第一订阅量的位置,可能是某些人为了获取更多的订阅量而编写并传播了该勒索病毒。截至发稿前PewDiePie频道的订阅量为87220671 ,T-Series频道的订阅量为87087817 。

    [转]当勒索病毒“不图财”时会图什么?

    PewDiePie频道于2010年4月29日注册,位置显示位于美国,是一个制作搞笑、搞怪、创意视频的视频频道,截至目前共有3760个视频。

    [转]当勒索病毒“不图财”时会图什么?

    T-Series频道于2006年3月13日注册,位置显示位于印度,是一个制作与印度相关的创意音乐视频的视频频道,截至目前共有13154个视频。

    [转]当勒索病毒“不图财”时会图什么?

    • 样本分析

    PewCrypt勒索者是一款用Java语言编写的勒索病毒软件,运行后会使用AES+RSA算法对文件进行加密,截止目前无法对加密后的文件进行解密。

    病毒加密流程如下:

    [转]当勒索病毒“不图财”时会图什么?

     

    病毒首先获取指定目录路径,指定加密目录如下:

    [转]当勒索病毒“不图财”时会图什么?

    然后遍历指定加密目录下文件的绝对路径并保存到列表中。

    [转]当勒索病毒“不图财”时会图什么?

    生成32字节的随机数并转化为256位的AES密钥,使用的加密算法为AES/ECB/PKCS5Padding。

    [转]当勒索病毒“不图财”时会图什么?

    对前面获得的文件路径进行判断,如果后缀为".PewCrypt", ".exe", ".jar",".dll"则不进行加密,其他类型的文件均会被加密。加密前会判断文件是否存在,文件是否可读可写,文件大小是否小于19M,如果是就开始进行加密,使用上面生成的256位AES密钥进行加密,加密后会覆盖原文件并加上后缀".PewCrypt"。

    [转]当勒索病毒“不图财”时会图什么?

    使用RSA加密算法对前面用于加密文件的256位AES密钥进行加密。

    [转]当勒索病毒“不图财”时会图什么?

    加密后的密钥内容保存到病毒所在目录并命名为AES.key。

    [转]当勒索病毒“不图财”时会图什么?

    勒索提示窗口会不断对YouTube网站进行访问获取PewDiePie频道和T-Series频道最新的的订阅量并显示出来。

    [转]当勒索病毒“不图财”时会图什么?

    最后显示窗口警示:你的文件已经被加密,需要去YouTube上订阅频道PewDiePie,频道订阅量达到一亿后作者才会发布解密工具,但如果另外一个频道T-Series的订阅量超过了PewDiePie频道,作者将永远不会公布解密工具。

    [转]当勒索病毒“不图财”时会图什么?

    • 查杀与防御

    目前360天擎、360安全卫士均能查杀此类勒索病毒。

    [转]当勒索病毒“不图财”时会图什么?

    防护建议:

    1.不要随意下载和运行不信任的软件,避免打开恶意软件。

    2.在设置电脑密码时应使用相对复杂的密码,防止黑客通过弱口令进行渗透和传播病毒。

    3.安装必要的安全软件进行防护。

    IOC

    MD5

    PewCrypt.exe:903f9076aadc67938aed2929cc051d53

  • 相关阅读:
    The Future of Middleware and the BizTalk Roadmap
    FW: How to spawn a process that runs under the context of the impersonated user in Microsoft ASP.NET pages
    Strips illegal Xml characters
    luogu P2280 激光炸弹(二维前缀和)
    luogu P2704 炮兵阵地(经典状态压缩DP)
    SP1716 GSS3 Can you answer these queries III (线段树维护最大连续子段和)
    二分图判定、匹配问题
    C++语法综合 | 基于char*设计一个字符串类MyString
    luogu P1044 火车进出栈问题(Catalan数)
    C++设计模式 | 三种设计模式基础
  • 原文地址:https://www.cnblogs.com/QKSword/p/10447708.html
Copyright © 2011-2022 走看看