萨格勒布

注册

 

发新话题 回复该主题

安全通告新一轮勒索攻击来袭,法语版S [复制链接]

1#
北京专业的白癜风医院 https://wapyyk.39.net/hospital/89ac7_labs.html

安全通告

亚信安全网络实验室监测到新一轮勒索病毒开始活跃,多个勒索家族出现频繁变种。近日,亚信安全截获了Sapphire勒索家族最新变种文件,其会加密用户电脑中的PDF文档、图片、音频、视频等重要数据。其勒索文本采用法语,主要针对法语用户,但从最新公布的数据来看,该病毒已经遍布世界各地。亚信安全将其命名为Ransom.Win32.SAPPHIRE.A。

攻击流程

病毒详细分析

该程序运行后首先通过设置注册表键值,禁用任务管理器。

PATH:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr

VALUE:REG_DEWORD1

获取C盘下面所有的文件路径存储到控件ListBox1中/p>

使用一个定时器,利用定时器事件触发加密函数/p>

加密密码/p>

加密KEY:99EDD88F11FDABAAA24E1CABB26EFE27CC

加密IVBDF0CBB

从之前控件ListBox1中顺序读取文件路径进行文件加密,加密后的文件被添加.VIVELAG后缀。

加密完成后显示勒索信界面,在该界面输入正确的密码就可以解密,正确密码是上述的加密密码/p>

输入正确的密码后实例化一个新的窗口Form3,并启动一个新的定时器用于解密文件和恢复被禁用的任务管理器。解密文件/p>

文件解密完成后恢复注册表,之后退出程序。

亚信安全教你如何防范

不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;采用高强度的密码,避免使用弱口令密码,并定期更换密码;打开系统自动更新,并检测更新进行安装;尽量关闭不必要的文件共享;请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全产品解决方案

亚信安全病毒码版本15..60,云病毒码版本15..71,全球码版本15..00已经可以检测,请用户及时升级病毒码版本。

IOC

SHA1:EAFCF5FAC4

分享 转发
TOP
发新话题 回复该主题