新型勒索病毒:私密文件公开化,加密锁屏改密码

最新推荐文章于 2020-12-15 18:34:09 发布
最新推荐文章于 2020-12-15 18:34:09 发布
阅读量319 收藏
点赞数
分类专栏: 网络信息安全 文章标签: 等级保护 分级保护 防火墙 加密机 数据治理
原文链接:https://mp.weixin.qq.com/s?__biz=MzIzNTc4MDM5OA==&mid=2247483872&idx=3&sn=01565f3903e9db7283199c5320b4959e&chksm=e8e0a1a1df9728b79031c24a09e9827e6752409af78f16c453b152b2de4ade5af0da6d6d1152&mpshare=1&scene=1&srcid=&sharer_sharetime=1573742338338&sharer_sh
版权

新型勒索病毒:私密文件公开化,加密锁屏改密码

海外第三方数据样本的监测,捕获到勒索病毒Megacortex新型变种。该家族样本最早出现在今年1月份,并对国外多个行业发起勒索攻击行为。

该变种相对以往所遇到的勒索病毒,在勒索手法上更为激进:不但加密用户文件,还会进一步修改Windwos登录密码,并在加密完毕后进行锁屏,更进一步还会威胁受害者,若不缴纳赎金则将主机上的文件公开。

一、Megacortex家族

Megacortex勒索病毒是国外较活跃的勒索家族,最初于今年1月份在VirusTotal平台上被安全研究员发现,并不断对国外多个行业进行加密勒索攻击,包括有美国、加拿大、法国和荷兰等。下图是Megacortex勒索病毒演进的时间轴:

了解更多加vx:569400584

二、Megacortex变种行为分析

该变种携带澳大利亚“MURSA PTY LTD”公司的数字签名,运行后会在C:\Windows\Temp路径下释放qibfmqkeM5-0.cmd、qibfmqkeM5-1.cmd、qibfmqkeM5-2.cmd、M5-990831122.dll和M5-685889264.dll文件。

lqibfmqkeM5-0.cmd,用于删除释放到C:\Windows\Temp路径的文件。
了解更多加vx:569400584

lqibfmqkeM5-2.cmd,用于删除磁盘卷影

了解更多加vx:569400584

lM5-990831122.dll,用于遍历磁盘文件

lM5-685889264.dll,用于加密磁盘文件,加密后缀名为.m3g4c0rtx

在加密完后进行锁屏,并且修改了用户登录密码:

lcmdline:’net user win oo/yUfojOGfTN2Kh’

lcmdline:’C:\Windows\system32\net1 user Administrator oo/yUfojOGfTN2Kh’
了解更多加vx:569400584

生成勒索信息文本!-!README!-!.rtf,并以“若不缴纳赎金则公开文件”的形式来威胁受害者,如下图所示:
了解更多加vx:569400584

三、安全建议 解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

分布式存储 罗拉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒锁屏密码清除
weixin_30703911的博客
03-05 577
注意:开启ADB调试或者ROOT过的手 如果没开就试试wifi远程调试 第一步: 输入 adb shell pm list packages 目的就是查找安装那个apk文件包 就是查找一下那个是锁程序文件 第二步:输入db uninstall 文件名 删除文件 这样程序就搞定了 但是有些是会系统密码 就继续看有些没有只能说good luck 第三步:adb root...
新型勒索软件MegaCortex的分析
systemino的博客
07-24 1157
英国网络安全公司Sophos在今年5月发现了一种名为MegaCortex的新勒索软件,根据当时的监测情况,MegaCortex已在美国、加拿大等多地区传播,该病毒攻击目标为大型企业,其通过域控服务器下发勒索病毒。在加密计算时,勒索软件会给加密文件附加一个扩展名,有时候是.aes128ctr。也就是说名为marketing.doc的文件将被加密并重命名为marketing.doc.aes128...
勒索病毒锁死文件加密
qq_34835962的博客
11-11 1448
勒索病毒提示信息赎金交易文本框☜不是你的语言吗?使用https://translate.google.com 你的档案怎么了? 您的所有文件都使用RSA-2048强加密保护。 更多关于使用RSA-2048的加密密钥的信息可以在这里找到:http://en.wikipedia.org/wiki/RSA_(加密系统) 这是怎么发生的? ! ! !特别为您的PC生成的个人RSA-2048...
[图解] 勒索病毒加密原理
Qode
08-13 8158
示意图 原理 公开密钥密码体制 要求密钥成对出现,一个用于加密,另一个用于解密,并且且不可能从其中一个推导出另一个。 加密过程 病毒作者首先在自己电脑上生成的 私钥Q 和 公钥Q,算法可以基于RSA或者椭圆曲线。 病毒在目标电脑上随生成 私钥Z 和 公钥Z 将用户电脑上的文件通过 公钥Z 加密 将用户电脑上的 私钥Z 通过 公钥Q 加密 删除用户电脑上的 私钥Z 、公钥Q、数据 解密过程 支付...
Android锁屏勒索病毒分析(1)BWM在线
BRUCE的博客
12-15 1326
1.样本概况1.1 基本信息 样本名称: 刷赞. 所属家族: 锁屏勒索病毒(a.rogue.SimpleLocker.a) MD5值: 7626090b69cd1e2e5671a022712808eb 包名: com.binge.mohe 入口: MainActivity 最低运行环境: Android 2.2X 敏感权限: 开启动 显示系统警报窗口 1.2 测试环
个人私密硬盘加密隐藏文件
09-06
私人密盘破解版,很好用收藏多年了,WIN10系统会误报威胁文件,请放心使用.
AK-FS:人性化的非对称加密文件共享
06-21
非对称密钥文件共享器是一种应用程序,旨在使用非对称加密文件共享来简化并变得人性化。 不使用 此应用程序不安全,正在开发中,无法使用。 错误 一般的 当没有朋友时,应用程序崩溃: Traceback (most recent ...
Cloaker:简单的基于密码的拖放式文件加密
02-05
Cloaker是一款基于密码文件加密工具,其设计目标是提供一个简单、易用且跨平台的解决方案,使得普通用户也能轻松地对个人文件进行安全保护。该工具采用拖放操作方式,大大简化了加密和解密的过程,为日常数据安全...
加密小脚本_加密_文件_
09-29
使用加密脚本时,用户需要按照脚本的说明,指定要加密文件,并可能需要输入一个密码或选择一个密钥文件。脚本会执行加密操作,将原始文件转换为密文,只有解密后才能恢复原样。为了增加安全性,用户应确保选择强...
PVSAE:公开的可加密加密数据的公共可验证搜索服务框架
03-12
PVSAE通过IND-CKA安全和search.pattern私密性两个正式的安全属性,为外包的加密数据提供强大的支持。 我们的框架支持两个具体的PVSAE.schemes。 第一种方案-PVSAE基于维向量,并实现了强大的安全性概念,即统计.IND...
中了勒索病毒怎么办|文件解密|文件恢复
QQ2119459337的博客
12-03 1万+
中了勒索病毒怎么办,整理解决办法。2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算,该蠕虫感染计算后会向计算中植入敲诈者病毒,导致电脑大量文件
cmd命令实现加密文件夹--建立隐藏目录--autorun病毒的简单防御
HappyNale的专栏
01-24 3207
1、运行cmd 2、在cmd窗口中输入如下命令: md D:/test../ (在D盘创建文件夹名为test.) D:/test.这个文件夹普通方式是无法打开的,不信自己可以试; 3、在运行中输入命令: d:/test../ (或者在命令提示符里面输入: start c:/Snail../) 即可以打开文件夹test.,并可以在文件夹内操作,和一般文件夹一样,记住,只能通过这个方式可 以打开D盘的文件夹test.; 4、如果需要删除这个文件夹,请在cmd窗口中用命令: r
关于勒索病毒
weixin_39003396的博客
04-30 3074
最近悲剧了,公司金蝶服务器被勒索病毒感染,全部变成了.java文件。心情特别急躁,之前了解过,但是没有放在心上,更没有注意防范过。在这里提醒各位小伙伴,一定要注意了,一旦被入侵,没有好的解决办法,只能是找解密公司。根据我了解,解密公司也是通过特殊途径和黑客联系,取得秘钥进行解密。解密公司首先通过工具搜索受感染计算上的所有黑客留下的ID,然后将ID交于黑客取得秘钥解密。感觉他们总是晚上进行工作,白...
勒索病毒工作原理
热门推荐
那些零零散散的算法
05-22 2万+
前些天借着Windows上的”永恒之蓝“漏洞,本来几乎快销声匿迹的加密勒索病毒又重新回到了公众视线里。由于电信等网络运营商早就封堵了可能导致中毒的445端口,所以外网影响不大,但是教育网里的同学就遭殃了,尤其是很多临毕业的学生纷纷中招,论文被加密,可能因此被迫延毕。 本文尝试着还原这些勒索病毒文件加解密的原理,来了解为什么这些病毒这么难缠,并给出一些“破解”的可能性,虽然条件都比较苛刻。
勒索病毒加密文件如何破解?
u011893782的博客
06-04 1万+
想要硬刚勒索病毒,脱密加密文件,是很难的。之前,我已经介绍了数字签名,勒索病毒使用了公钥加密另一个常用应用“数字信封”技术。 想要恢复勒索病毒加密文件,可以破解黑客的公钥,或者破解黑客加密文件的临时对称密钥。而这2种算法,黑客都选用了目前可靠的算法,不可能被破解。 为什么不能被破解?这2种算法保障着全球信息系统的安全性,如果能通过破解加密算法恢复文件,现代的信息防护技术也就都失效了。因此,如果必须恢复文件,目前的办法就是支付赎金给黑客,然后加固系统。 数字信封 不严谨的描述一下: 1.随.
.satan勒索病毒加密文件恢复手记
大师的资源
04-08 5461
  Satan Cryptoy 勒索病毒,好郁闷了,所有文件后缀加上了.Satan,查日志凌晨3点,数据库全毁,连同DUMP文件后缀的被成.Satan 加密了,勒索对话框提示支付0.5比特币。  我说说我这边分析和恢复情况。  我们的数据库都是每天做DUMP的,从加密DUMP文件分析,发现这个病毒有个很神奇的地方:  1、对于大文件,并不是全文件加密,比如10G文件,他可能砍断成为4G文件加密...
7旗舰版32位勒索补丁_勒索病毒新玩法 ——加密锁屏密码私密文件公开化...
weixin_28738021的博客
12-15 161
近期,深信服安全团队通过对海外第三方数据样本的监测,捕获到勒索病毒Megacortex新型变种。该家族样本最早出现在今年1月份,并对国外多个行业发起勒索攻击行为。该变种相对以往所遇到的勒索病毒,在勒索手法上更为激进:不但加密用户文件,还会进一步修Windwos登录密码,并在加密完毕后进行锁屏,更进一步还会威胁受害者,若不缴纳赎金则将主上的文件公开。 Megacortex家族 ...
技术分析 | 新型勒索病毒Petya如何对你的文件进行加密
weixin_33881140的博客
06-28 316
6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。 雷锋网报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及场都不同程度的受到了影响。 阿里云安全团队第一时间拿到病毒样本,并进行了分析: 这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。 目前,该勒索蠕虫通过Windows漏洞进行传播,...
关于最简单的敲竹杠病毒密码破解
Hi_KER的博客
10-24 4990
现在敲竹杠病毒越来越复杂,骗术也越来越精明,下面介绍对于最简单的敲竹杠病毒密码的破解。因此现在你遇到的大部分敲竹杠病毒不会像下面一样这么容易就被破解了,不过这种情况确实存在的。 介绍: 根据电脑病毒的特性这个东西严格上并不是病毒。 计算病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。 1.简单的敲竹杠病毒,并不具有自动传播性,它的主要功能是修电脑密码,并且以受害...
用户体验与场景:私密文件设计中的关键
标题"私密文件私密文件"虽然没有直接提到私密文件的存储或加密技术,但我们可以推断这可能涉及到如何在保护用户隐私的前提下提供良好的产品体验。 文章首先阐述了设计思想的核心,即用户体验设计。设计者在构建产品...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值