AVCrypt:一款尝试卸载网上真钱游戏的勒索病毒

又,海外的发觉了一任一某一叫做AVCrypt的讹诈软件。,该讹诈软件在器械文献编密码正好前会尝试扔弃已架置的网上真钱游戏,而且尝试移除宽大与零碎保安的相互关系的侍者,减弱了零碎的谋划抗御生产率。。

该讹诈软件应用了网上真钱游戏会在Windows保安的胸部登记簿的特点,这么应用WMI(窗口) Management 机关)器查询,并尝试扔弃杀毒软件。,后来地,它将受传染的负责人相互关系书信和编密码电键发送到,于是对磁盘文献停止编密码。,于是修正桌面图像以试点用户支出解密正好。,末版敲诈讹诈。经过辨析发觉滚滚而来保安的研究室,敲诈讹诈软件仍在开展和得体的的的阶段。,鉴于调试书信量大,还缺席剔除。,相当多的功用还不得体的的。,这么,这必须做的事属于小型病毒的散布实验。。蒋敏保安的研究室提议用户架置防病毒软件,反病毒作品可以有法律效力地检测和抗御这种病毒。,帮忙用户远离这些奶牛。。

战利品透明的辨析使报到

将通常男高音答应代币修补为SSEHUTUT力量答应,弹出式显示CONT………(猜想测量法版本应用),创立一任一某一名为$的互斥,以防备病毒顺序反复启动。。

1.png

图1 创立互斥防备病毒反复启动

获取通常零碎版本,决定通常零碎无论是VIS后来地的零碎版本,是否是这样的话,直系的实行下一步的传染战略。,是否是Vista零碎的先前版本,请尝试获取男高音)技术援助委。,如能得体的获取到代币书信则器械下一步传染用以表示威胁便应用ShellExecuteExW作用以正好员力量重新开端病毒文献。

2.png

图2 获取零碎版本器械随后快跑

应用ISDebug的通常作用做一任一某一复杂的反调试。,是否调试器调试病毒顺序,放弃斗争顺序。,不器械稍微正好。尝试翻开登记簿表:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Adobe,登记簿表是成传染的第一任一某一征兆。,专利证毛病将开端传染布置的第一阶段。,翻开登记簿表成表明传染布置快跑,这么病毒顺序就在%temp%大学情况便览下封爵名为“++.bat”文献器械完毕男高音并停止自剔除正好。

3.png

图 决定零碎无论已成传染。

3_1.png

图 封爵 .BAT文献创造自剔除

因敲诈讹诈软件仍在形成和测量法阶段。,未卸货宽大调试书信。,这么,传染布置快跑可以极透明。,整个的传染快跑是在以下快跑中停止的。

4.png

图4 病毒传染布置的次要快跑

病毒率先应用WMI(窗口) Management Instrumentation)子组件部件的交流获取IWbemClassObject情人,于是应用该情人的ConnectServer办法衔接子组件部件内命名茫然的“Root\\SecurityCenter2”,尝试要求该情人的DeleteInstance办法打烊Microsoft Security Essentials、Malwarebytes、MicrosoftSecurity Essentials、Windows 谋划抗御零碎四例与反病毒使担忧的零碎快跑。

5.png

图 衔接Windows保安的胸部

5_1.png

图 剔除Windows本身的反病毒顺序的生动的例子。

在打烊Windows Defender等4零碎自带的反病毒顺序后,病毒在设定登记簿表后启动了Windows正好侍者顺序用于支集后续歹意行动,后来地再次衔接Windows保安的胸部查找在零碎登记簿的网上真钱游戏并考虑移出反病毒顺序结果于器械后续的编密码讹诈正好,在家查找网上真钱游戏的办法可以用CMD命令仿照,CMD命令如次:

6.png

图 经过CMD命令查询杀毒顺序

6_1.png

图 一任一某一保安的的防病毒顺序的反驳

6_3.png

图 考虑扔弃反病毒顺序

设置登记簿表项,使病毒可以自动的启动和启动。,后来地,设置病毒文献来人的皮肤零碎的属性。,并更改登记簿表项完整打烊零碎显示人的皮肤文献的功用,在器械歹意正好时,病毒文献难以检测。。

7.png

图 设置病毒启动一则
7_1.png

图 设置病毒文献人的皮肤零碎属性

设定敲诈讹诈病毒的启动项后,整个的登记簿表K,打烊零碎中与保安的相互关系的最大限度功用。,减弱零碎的谋划抗御生产率,修正后的登记簿表项如次。

8.png

图8 修正登记簿表项

登记簿表设定实现后,零碎启动文献将,剔除零碎回复选择权以防备用户回复文献,缄默剔除零碎后援文献,剔除影影拷贝,于是应用SrReReVisteRooPooT作用剔除零碎回复POIN,剔除一则的全部效果是1005个缩减点。,用户谈不上经过零碎复原来复原文献。,后来地,经过CMD COM剔除最大限度与保安的相互关系的侍者。。

9.png
图 剔除后援相互关系文献

9-1.png

图 要剔除的Windows侍者

9-2.png

图 剔除Windows相互关系侍者的命令

剔除相互关系侍者后,翻开新线并为本身创立窗口。,本着接纳到的窗口音讯器械差别的行动。,次要有显示Windows在架置的行动。,稍微用户都难承认的事关机,玩顽皮的干扰,结果HOS。。

10.png

图10 创立窗口以接纳相互关系音讯

后来地,笔者找寻洋葱路由快跑。,是否找到该男高音便尝试和选定的暗网区名bxp44w3qwwrmuupc[.]onion停止书信,尝试发送负责人被传染的时区。,零碎版本和编密码电键应用。

11.png

图 本着器械后续快跑的在

11-1.png

图 衔接选定的的暗电网区名发送用户书信

是否缺席发觉洋葱路由快跑,它将从其资源平衡出版。,它组编快跑。,减压实现后便应用CreateProcess作用创立男高音再要求领先衔接暗网区名发送负责人书信的作用。

12.png

图 免除组编文献的文献

12-1.png

图 创立男高音

实现电键使转移后,价格稳定文献编密码快跑B,编密码文献后,敲诈讹诈软件将在前做加法 号。,)技术援助委文献已被编密码。,编密码实现后,将在每个正好下封爵A 文献。,文档的容量现时是LOL。 n”,鉴于病毒中有宽大的调试书信,它可以被检测出狱。,这也可以解说为什么缺席用户支出解密的说辞。。

13.png

图13 编密码文献正好

编密码文献零碎实现后便会设置桌面图标为讹诈软件在%temp%大学情况便览下免除的文献,于是正好视野 容量。,终极,用户将支出解密正好。,完整讹诈。

14.png

图14 更改桌面以试点用户支出解密费

后来地便在登记簿表添加传染实现注意HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Adobe\,于是免除 .BAT批处理文献以器械终极清算。,它将完毕本身的男高音。,剔除病毒文献,剔除启动试点设置,剔除相互关系日记事变,清算切边中厚板的容量等正好。,快跑完毕。

15.png

图15 为后续清算任务封爵 .BAT文献

小结

在传染RANSOM病毒后,用户将被歹意地编密码。,且其尝试扔弃网上真钱游戏,以多种方法削弱零碎谋划抗御,剔除宽大保安的相互关系侍者,使病毒传染的零碎在电网中来极软弱。。蒋敏保安的研究室提议用户定期检修好互联网网络HAB,架置防病毒软件(如蒋敏网上真钱游戏)。

*本文作者:蒋敏保安的研究室,请从转载中选出。

发表评论

电子邮件地址不会被公开。 必填项已用*标注