注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

 
 
 

日志

 
 

【转载】2013新型勒索软件病毒资料  

2014-05-29 07:21:12|  分类: 各种骗局 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
近期有多家用户感染新的勒索软件病毒,感染该病毒后系统中多种文档文件会被加密,需要支付$300美金或比特币获取密钥才能将文件解密。
感染客户会弹出以下勒索窗口:
【转载】2013新型勒索软件病毒资料 - 老丫丫 -
1.jpg (66.6 KB)
2013-11-5 10:09
甚至桌面也会被锁定:
【转载】2013新型勒索软件病毒资料 - 老丫丫 -
2.jpg (64.46 KB)
2013-11-5 10:09
关于这只病毒的详细信息如下:
传播渠道:
此木马病毒可能通过聊天工具,电子邮件,恶意网站传播,或由其他病毒释放而来。
病毒行为:
1. 释放其自身的复制到以下目录:
%Application Data%\{随机字母的文件名}.exe
(注意:%Application Data%是当前用户的ApplicationData 文件夹,在Windows 2000, XP,Server 2003系统中通常为 C:\Documents and Settings\{帐户名称}\Application Data,在Windows 7及以上版本系统中通常为 C:\Users\{user name}\AppData\Roaming.)
2. 会创建互斥量,以避免自己重复运行
3. 会在注册表中添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = "%Application Data%\{随机文件名}.exe"
4. 会添加以下注册表键值:
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files
【转载】2013新型勒索软件病毒资料 - 老丫丫 -
3.jpg (14.18 KB)
2013-11-5 10:09
其中子键file下方列出的是已被加密的文件列表s 9 =f???D?y:宋体;mso-ascii-font-family:Calibri;mso-ascii-theme-font:minor-latin;mso-fareast-font-family:宋体;mso-fareast-theme-font:minor-fareast;mso-hansi-font-family:Calibri;mso-hansi-theme-font:minor-latin'>释放其自身的复制到以下目录:
%Application Data%\{随机字母的文件名}.exe
(注意:%Application Data%是当前用户的ApplicationData 文件夹,在Windows 2000, XP,Server 2003系统中通常为 C:\Documents and Settings\{帐户名称}\Application Data,在Windows 7及以上版本系统中通常为 C:\Users\{user name}\AppData\Roaming.)
2. 会创建互斥量,以避免自己重复运行
3. 会在注册表中添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CryptoLocker = "%Application Data%\{随机文件名}.exe"
4. 会添加以下注册表键值:
HKEY_CURRENT_USER\Software\CryptoLocker
HKEY_CURRENT_USER\Software\CryptoLocker\Files
【转载】2013新型勒索软件病毒资料 - 老丫丫 -
4.jpg (35.12 KB)
2013-11-5 10:09
5. 该病毒会连接以下域名以获取加密的密钥:
gktibioivpqbot.net
mlernipmrlrnjj.com
lnjaadfliwshke.info
kktvnsdykphojs.co.uk
jmyeansxbbiibw.org
qnamcbakhsitnw.ru
ppfuovpjxejnoy.biz
这些地址中任意一个可连接的域名最终指向ip地址为93.189.44.187 的服务器
6. 在获取加密密钥后以下类型文档将被加密
*.3fr *.accdb *.arw *.bay *.cdr *.cer *.cr2*.crt *.crw *.dbf *.dcr *.der *.dng *.doc *.docm *.docx *.dwg
*.dxf *.dxg*.eps *.erf *.indd *.kdc *.mdb*.mdf *.mef *.mrw *.nef *.nrw *.odb *.odc *.odm *.odp *.ods *.odt *.orf *.p12
*.p7b *.p7c *.pdd *.pef *.pem *.pfx *.ppt*.pptm *.pptx *.psd *.pst *.ptx *.r3d *.raf *.raw *.rtf *.rw2 *.rwl *.sr2 *.srf*.srw *.wb2
*.wpd *.wps *.x3f *.xlk *.xls *.xlsb *.xlsm*.xlsx
7. 勒索者接受以下支付方式
Bitcoin
cashU
MoneyPak
Ukash
防护方法:
1. 从网关处阻止恶意地址的连接
2. 将防毒软件病毒码更新至最新
3. 不要随意点开未知发送者的邮件附件
4. 不要随意接收并运行聊天工具中发送的文件(包括看上去是图片文件或office文档的文件)
5. 不要随意访问未知的国外站点,特别是黄色站点或是视频下载站点
6. 重要文档请注意备份
  评论这张
 
阅读(344)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017