多样加密功能全面升级细数猖獗作恶“五宗罪”
与之前版本相比,Phobos勒索病毒变种在对加密勒索功能模块伪装、安全防护机制绕过及本地持久化等多方面都实现了升级。
1.“层层羊皮”包裹伪装,加密勒索功能模块行迹隐秘
当用户下载执行在%userprofile%目录下的exe文件,由powershell解密释放落地后,会进一步从木马服务器,下载用于文件加密的可执行程序zeVrk.exe等文件完成加密勒索行为。
pps.ps1解密exe文件数据并执行
该病毒首先利用计划任务中的SilentCleanup绕过UAC,然后从木马服务器获取原始文件名为zeVrk.exe的木马程序。该木马程序会从资源段中提取并解密经过base64加密的名为“AndroidStudio.dll ”的dll数据,调用其导出函数StartGame(),进而继续从dll的资源段提取加密的文件数据,然后将其解压缩并异或解密,还原为负责加密勒索功能的exe文件数据,随后加载该exe。“脱下”两层资源段解密并加载的“羊皮”伪装后,该exe将完成实质上的文件加密操作。
zeVrk.exe解密资源段的AndroidStudio.dll文件数据,调用其导出函数StartGame()
AndroidStudio.dll!StartGame解压缩解密并加载负责文件加密exe
2.“入室”窃取隐私数据,为潜在攻击打下头阵
一旦病毒变种入侵成功,其首先会在窃取目标电脑上CPU型号、声卡显卡等硬件信息,以及所属国家、IP地址、安装软件等用户信息后,将这些信息写入“system.txt”文件;同时还会尝试获取本机账户密码信息,并写入“password.txt”文件;也同样会将获取到的当前屏幕截图命名为“screenshot.jpg”。而后,其会将这三个文件打包为压缩文件回传木马服务器并删除本地的压缩包文件,而这些被窃取的用户信息很有可能为Phobos家族未来进一步的潜在攻击打下头阵。
system.txt中记录的受害者电脑信息
压缩包记录受害者信息的各文件
3.花式绕过Windows Defender,无视安全防护机制壁垒
该病毒变种还会通过木马服务器下载原始文件名为“
Disable-Windows-Defender.exe”的程序来禁用Windows Defender的各功能。其方式包括:修改注册表关闭Windows Defender实时保护等功能,调用powershell执行“ Get-MpPreference -verbose”命令检查当前的Windows Defender设置,并尝试关闭指定的Windows Defender功能。
修改注册表关闭Windows Defender功能
调用powershell关闭Windows Defender功能
4.“投机取巧”绕过UAC,大肆执行恶意行为
计划任务中的SilentCleanup以普通用户权限即可启动,并且启动后自动提升为高权限。该病毒变种根据这一特点,利用计划任务中权限控制不严格的SilentCleanup来绕过用户账户控制UAC。
病毒变种利用SilentCleanup绕过UAC
5. 多重备份保证本地持久化,三大策略防止文件被恢复
病毒会将负责文件加密任务的zeVrk.exe文件拷贝到%LocalAppData%、%temp%以及开机启动Startup目录中,并添加zeVrk.exe文件路径到注册表启动项中,从而实现加密勒索的本地持久化,达到当用户重启计算机时再次扫描磁盘加密新文件的目的。
zeVrk.exe(原始文件名)所在目录
病毒变种添加的注册表启动项
同时,为了防止加密文件的恢复,该病毒变种会通过以下命令来删除磁盘卷影备份, 修改启动策略以禁用 Windows启动修复, 以及删除windows server backup备份:
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
多样加密功能全面升级细数猖獗作恶“五宗罪”相关推荐
- 隐患重重遭诟病 细数固态硬盘“七宗罪”
此内容转自网络,本人认为文章内容优秀,只作收藏,作为自己的知识库,并不用他用 原文链接地址为:http://ssd.zol.com.cn/471/4715723_all.html 隐患重重遭诟病 细数 ...
- 想说爱你不容易——细数迅雷软件“三宗罪”
经历过网络蚂蚁.网际快车和QQ旋风的洗礼,不知不觉迅雷成了我们计算机中长久驻扎的下载软件,很多人甚至连"目标另存为"都不知道为何物了.当然,也正是因为普及率不断上升,尽管不知能否用 ...
- s8 android 8.0变化,细数三星Galaxy S8升级安卓8.0系统后的那些变化,看完决定
三星Galaxy S8大更新 日盼夜盼安卓总算8.0时代到来了,这次s8也总算迎来了安卓8.0版本的更新, 不过目前还是测试阶段,下面我们就来细数有那些变化吧 一,任务管理器点击右上角可以切换视图 二 ...
- miui升级系统无服务器,细数MIUI 11的BUG,还没升级的朋友,先来了解一下
大家好,我们都知道,作为国内知名的安卓UI,MIUI已经经过十年的发展,今年更是推出了MIUI 11版本.在很多朋友看来,字体.动态音效.息屏显示.儿童空间和MI GO出行等功能,确实是又一次很大的改 ...
- 经过本人盘点与细数,总结出个人云存储与传统网盘五大差别
2012年伊始,国内互联网火热的话题莫过于个人云存储.金山快盘.E8共享.5A资源网.盛大EverBox陆续推出了个人云存储产品,希望能趁移动互联网火爆之势迅速积聚用户.目前在各家公布的个人云存储市场 ...
- 年终盘点丨细数2017云栖社区20大热点话题(附100+话题清单)
2017,你在聚能聊里分享了多少内容?贡献了多少话题?又收获了多少呢?社区聚能聊不仅可以请教技术难题,探讨热点话题,也可以八卦日常生活,分享码农们的点点滴滴. 程序员的世界不止是眼前的代码,一样有诗和 ...
- 《八股文》细数Java线程、并发、锁,温故而知新
<八股文>细数Java线程.并发.锁,温故而知新 基础 1. 并行.并发有什么区别? 2. 说说什么是进程和线程? 3. 说说线程有几种创建方式? 4. 为什么调用start()方法时会执 ...
- SpUtil多样加密存储,兼容android9.0
代码地址如下: http://www.demodashi.com/demo/15058.html ####前言 在android系统不断升级的过程中,Sharepreferences存储出现多中问题, ...
- php mongodb 管理工具,细数MongoDB管理工具
看一个产品是否得到认可,可以从一个侧面看其第三方工具的数量和成熟程度,下面我们就来细数一下MongoDB的各个GUI管理工具. Try MongoDB 不用安装就可以试用MongoDB? 当然没问题, ...
- 权威报告发布:细数OKEx OKChain公链那些“五星级”的骚操作
随着连日来DeFi热点备受关注,人们逐渐认识到作为公链领域新秀的OKChain,所具备超前眼界与布局的巨大发展潜力. 近日OKEx就针对OKChain,从其跨链机制.Token情况.运转过程.生态角色 ...
最新文章
- Win32窗体控件方法与消息
- docker 镜像修改的配置文件自动还原_Docker 基础与实战,看这一篇就够了
- Scikit-learn 概述
- 对象已死?及其判断算法
- Mac中将 WEBP 图片转成 JPG、PNG 格式的 2 种方法
- 一文搞懂I2C总线通信
- 西瓜书(机器学习周志华)公式详细推导
- PID控制器原理概述
- 长江大学计算机类分流,2020级环境科学与工程类学生专业分流方案
- 专家解析:程序员到软件架构师培训与认证之路
- 重读经典(CLIP下):《Learning Transferable Visual Models From Natural Language Supervision》
- 计算机组成原理笔记——机器指令
- Nginx Sticky的使用及踩过的坑(nginx-sticky-module)
- nginx $1,2,3的含义
- [HITCON 2016]Leaking沙箱逃逸学习
- 贪心---排序不等式、绝对值不等式、推公式
- python selenium爬取去哪儿网的酒店信息——详细步骤及代码实现
- 来广州的第一天面试总结2018.4.16
- 电影 -- 谍影重重
- bash命令 之创建目录