Perisian tebusan XiaoBa ialah sejenis virus komputer baharu Ia adalah virus perisian tebusan yang dihasilkan secara meluas dalam bentuk e-mel, program Trojan dan Trojan halaman web. . Virus ini menggunakan pelbagai algoritma penyulitan untuk menyulitkan fail, menyukarkan orang yang dijangkiti untuk menyahsulitnya Hanya dengan mendapatkan kunci persendirian yang dinyahsulitkan virus itu berjaya dipecahkan. Jika wang tebusan tidak dibayar dalam masa 200 saat, semua fail yang disulitkan akan dimusnahkan.
Penerangan di atas diambil daripada Ensiklopedia Baidu, tetapi varian XiaoBa yang saya analisis tidak mempunyai ciri tingkah laku di atas, tetapi ia mempunyai penyembunyian dan kejangkitan yang kuat, serta mempunyai penyulitan fail, pemadaman fail dan perlombongan. Tiga fungsi utama.
Sampel ini telah dianalisis oleh Weibu Cloud Sandbox (lihat "Pautan Rujukan" untuk pautan berkaitan) dan disahkan sebagai sampel berniat jahat
Selepas menjalankan sampel, mula-mula laraskan kebenaran proses untuk memastikan anda mempunyai kebenaran yang mencukupi untuk operasi seterusnya
. Jika anda berada dalam laluan ini, anda akan melakukan beberapa operasi yang berkaitan dengan mengubah suai tetapan sistem terlebih dahulu:
Ubah suai atribut failTetapkan atribut fail kepada fail sistem yang dilindungi Anda perlu memilih "Folder and Nyahtanda pilihan "Sembunyikan fail sistem pengendalian yang dilindungi (disyorkan)" dalam Pilihan Carian" untuk melihat Lumpuhkan UACSediakan automula, buat Pintasan
Lumpuhkan pendaftaran
Jangan tunjukkan fail tersembunyi
Lumpuhkan pilihan folder dan carian
Buat Autoboot
Alih keluar pilihan SafeBoot
Traversal cakera
Lintas cakera, cipta fail autorun.inf dalam direktori akar cakera, tulis data berikut, cuba jangkitan cakera USB, dan tidak dapat tidak Tetapkan fail ini untuk disembunyikan Buat folder RECYCLERS-5-4-62-7581032776-5377505530-562822366-6588, dan salin failnya sendiri untuk menulis semula fail hos dan ubah hala tapak web pengeluar keselamatanTopik utama
Akhirnya buat utas Dalam fungsi utas, XiaoBa akan merentasi semua fail dan mencari sambungan .exe, .com, .scr, .pif, .html, .htm, .gho, . fail iso, lakukan operasi berbeza untuk sambungan berbeza.exe, .com, .scr, .pif
dan menambah skrip perlombongan
pada penghujung fail ini. .gho, .iso
Untuk fail ini, padamkan terus
Perkara yang menarik ialah ikon sampel ini ialah ikon 360 Antivirus, fail yang dicipta Nama folder juga 360, dan ikon program boleh laku yang ditulis semula olehnya telah digantikan dengan 360 ikon...Atas ialah kandungan terperinci Bagaimana untuk menganalisis varian perisian tebusan XiaoBa. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!