Bagaimana untuk menganalisis varian perisian tebusan XiaoBa

Ikhtisar

Perisian tebusan XiaoBa ialah sejenis virus komputer baharu Ia adalah virus perisian tebusan yang dihasilkan secara meluas dalam bentuk e-mel, program Trojan dan Trojan halaman web. . Virus ini menggunakan pelbagai algoritma penyulitan untuk menyulitkan fail, menyukarkan orang yang dijangkiti untuk menyahsulitnya Hanya dengan mendapatkan kunci persendirian yang dinyahsulitkan virus itu berjaya dipecahkan. Jika wang tebusan tidak dibayar dalam masa 200 saat, semua fail yang disulitkan akan dimusnahkan.

Penerangan di atas diambil daripada Ensiklopedia Baidu, tetapi varian XiaoBa yang saya analisis tidak mempunyai ciri tingkah laku di atas, tetapi ia mempunyai penyembunyian dan kejangkitan yang kuat, serta mempunyai penyulitan fail, pemadaman fail dan perlombongan. Tiga fungsi utama.

Analisis Sampel

Sampel ini telah dianalisis oleh Weibu Cloud Sandbox (lihat "Pautan Rujukan" untuk pautan berkaitan) dan disahkan sebagai sampel berniat jahat

Rajah tingkah laku

Pelarasan kebenaran

Selepas menjalankan sampel, mula-mula laraskan kebenaran proses untuk memastikan anda mempunyai kebenaran yang mencukupi untuk operasi seterusnya

                                                                                                                                                                                                                                                                                                                                                                                                                                           . Jika anda berada dalam laluan ini, anda akan melakukan beberapa operasi yang berkaitan dengan mengubah suai tetapan sistem terlebih dahulu:

Ubah suai atribut fail

Tetapkan atribut fail kepada fail sistem yang dilindungi Anda perlu memilih "Folder and Nyahtanda pilihan "Sembunyikan fail sistem pengendalian yang dilindungi (disyorkan)" dalam Pilihan Carian" untuk melihat

Lumpuhkan UAC

Sediakan automula, buat Pintasan

Lumpuhkan pendaftaran

Jangan tunjukkan fail tersembunyi

Lumpuhkan pilihan folder dan carian

Buat Autoboot

Alih keluar pilihan SafeBoot

Traversal cakera

Lintas cakera, cipta fail autorun.inf dalam direktori akar cakera, tulis data berikut, cuba jangkitan cakera USB, dan tidak dapat tidak Tetapkan fail ini untuk disembunyikan

Buat folder RECYCLERS-5-4-62-7581032776-5377505530-562822366-6588, dan salin failnya sendiri untuk menulis semula fail hos dan ubah hala tapak web pengeluar keselamatan

Topik utama

Akhirnya buat utas Dalam fungsi utas, XiaoBa akan merentasi semua fail dan mencari sambungan .exe, .com, .scr, .pif, .html, .htm, .gho, . fail iso, lakukan operasi berbeza untuk sambungan berbeza.exe, .com, .scr, .pif

menulis semula fail ini dan menulis failnya sendiri ke permulaan fail ini Jika anda menjalankan fail ini kemudian. ia akan menjalankan ZhuDongFangYu.exe

.html, .htm

dan menambah skrip perlombongan

pada penghujung fail ini. .gho, .iso

Untuk fail ini, padamkan terus

Perkara yang menarik ialah ikon sampel ini ialah ikon 360 Antivirus, fail yang dicipta Nama folder juga 360, dan ikon program boleh laku yang ditulis semula olehnya telah digantikan dengan 360 ikon...

Atas ialah kandungan terperinci Bagaimana untuk menganalisis varian perisian tebusan XiaoBa. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!