DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos怎么防_抗ddos攻击_原理

ddos怎么防_抗ddos攻击_原理

在我们关于勒索软件现状的博客系列文章中,我们对四种最流行的变体进行了深入分析,并描述了它们的操作、感染机制以及每个变体在全球的地理分布。这些变体包括:CryptoWall、TorrentLocker、CTB Locker和TeslaCrypt。现在,我们将探讨几种不常见但更新颖的变体:病毒勒索软件(VirLock)、威胁查找器(ThreatFinder)、CrypVault和基于PowerShell的勒索软件(Los Pollos Hermanos)。病毒勒索软件2014年底,我们开始看到勒索软件感染大多数文件类型,包括二进制文件,并锁定用户桌面,这是同类软件中的第一个。文件感染者勒索软件的VirLock家族不仅仅是一种多态病毒,它还具有一个多层保护代码,它使用xor和xor-rol作为两级加密进行编码。通过这样做,传统的防病毒仿真将在仿真过程中失败,而在到达实际病毒代码和清理主机文件之前。除了感染常见的文档和图像相关文件外,它还感染二进制文件。执行一旦执行,VirLock会出于各种目的启动自身的多个副本。其中一个副本将自己注册为Windows服务并持续运行。另一个副本运行文件感染器线程,同时启动另一个副本来监视先前启动的进程,如果进程被任何其他进程终止,则重新启动。感染完成后,它将启动一个GUI窗口,ddos云服务器防御,如下所示。它还监视和终止任务管理器.exe,内网ddos攻击防御,以及其他应用程序资源管理器. 下面的winlocker图像是根据用户计算机的地理位置绘制和显示的,并嵌入到恶意二进制文件中–这意味着它不需要有效的互联网连接来感染或显示支付GUI窗口。它添加自动运行键值以确保它在windows启动期间运行。然后它创建一个.rsrc节并将加密的主机文件放入该节中。当用户执行任何受感染的文件时,它会删除干净的主机文件,安全狗防御ddos,并在运行病毒代码后执行它。它通过将系统文件夹更改为"隐藏"来更改系统文件夹设置,从而使所有丢弃的文件都不可见。它将所有受感染的文件名保存在%AllUsers%配置文件下的文本文件中。尽管感染机制看起来很简单,但它在很大程度上是一种多态病毒,带有许多意大利面代码,并且每个实例的解密密钥都是唯一生成的。它还枚举所有可用的网络驱动器并感染其中的文件。与其他勒索软件有两个主要区别:它不会删除用于备份的卷影副本。任何地方都不会丢赎金。它只通过执行受感染的文件来显示PaymentGUI窗口,如下面的图1所示。付款像许多其他勒索软件变体一样,它使用比特币进行支付。支付货币根据用户机器的地理位置显示。解密文件的费用是250英镑,而消毒可以在不付钱给恶意作者的情况下完成。保护Sophos使用以下特征码检测和消毒这些变体:W32/VirRnsm-A、W32/VirRnsm-C、W32/VirRnsm-D、W32/VirRnsm-E、W32/VirRnsm-FSophos还可以通过以下方式主动保护文件感染者勒索软件:HPmal/Ransom-P、HPmal/VirLock-A威胁探测器ThreatFinder勒索软件是一个DLL组件,对某些文件类型进行加密,如下图1所示。它通常被其他恶意软件通过钓鱼者漏洞工具包下载。ThreatFinder是唯一的,因为没有已知的基于DLL的文件加密勒索软件。执行并自动将%run键复制到文件夹中。它还从65.49.8.104下载下面显示的图像文件,而不是将自己附加到二进制文件中。然后它等待命令和控制连接,并对某些文件类型进行加密。在撰写本文时,还没有可用的主动命令和控制连接–我们也无法确切确认所使用的加密算法(ransom notes说它使用RSA-2048),因为没有使用特定于加密的API或任何已知的加密算法。在成功连接到命令和控制服务器后,它将加密上述文件类型,然后在磁盘上创建带有图2和图3所示的赎金注释的html,并使用shellexecute API启动它。付款与其他勒索软件类似,ThreatFinder也使用比特币进行支付。用于发送支付的比特币地址是硬编码在二进制文件中的。"1NADLTGZHFGJMKUQ58DGSB7ADCBE5N6Z1"以下是ThreatFinder作者建议购买比特币的几个网站:区块链.info/en/walletLocalBitcoins.com网站coincafe.com网站coinmr.com网站bitquick.co公司cashintocoins.comcoinjar.com网站zipzapinc.com网站保护与病毒勒索软件类似,它不会使用vssadmin.exe文件,允许用户将其计算机恢复到以前的正常状态。Sophos使用以下签名检测ThreatFinder。Troj/TFinder-A公司Troj/TFinderM-A公司CrypVault公司CrypVault是一种勒索软件,它以简单的批处理脚本编写,使用RSA-1024公钥加密用户文件,并通过添加扩展名".vault"重命名加密文件执行我们已经看到一些变体,其中实际的批处理文件由另一个javascript下载,或者嵌入到包含7的安装程序二进制文件中zip.exe, gpg.exe(开源加密工具)和批处理脚本(加密用户文件的主脚本文件),如下图1所示。脚本文件是一个受密码保护的7zip文件,它是使用硬编码密码提取的。然后脚本文件将删除7zip.exe以及gpg.exe放入%TEMP%文件夹。一旦批处理文件被执行,则gpg.exe使用生成的RSA-1024公钥执行加密。它从A-Z加密用户机器中所有可用驱动器中提到的文件类型,如图2所示。xls、doc、pdf、rtf、psd、dwg、cdr、cd、mdb、1cd、dbf、sqlite、jpg、zip在一个如果它有很多变体,它还会在脚本之间添加垃圾代码,以避免静态AV检测。它使用findstr查找某个文件夹名,以避免加密这些文件夹中的任何文件,这会导致系统不稳定,如图3所示。一旦所有提到的文件类型都被加密,它将使用.vault扩展名重命名这些文件,如图4所示。如果用户试图执行这些文件,100g高防cdn作用,它会在GUI窗口中显示赎金注释,如图5所示。用户需要提供放在%desktop%文件夹下的密钥文件。完成所有加密后,它将删除所有删除/创建的文件。有些变体使用Sysinternals提供的sDelete实用程序,而其他变体则使用批处理脚本中的del命令进行删除,淘宝是怎么防御cc的,如图6所示。CrypVault还向messagebox添加了一个run key注册表项,以显示使用mshta.exe并删除剩余的包含javascript的runkey条目,它已经执行了,如图7所示。它还删除卷影副本(如果有),使用wmic.exe文件在批处理脚本中,如下所示。回声objShell.shell执行"wmic.exe文件","卷影副本删除/nointeractive","","runas",0>>%temp%\aae53d47.vbs"最后,它下载一个属于securtyxploaded到%TEMP%的密码转储实用程序。它实际上是使用一个自定义的压缩二进制文件来保护实际的密码实用程序,在执行二进制文件之后,该实用程序将在内存中解包。它从各种浏览器收集浏览器密码,如图8所示,并上传到命令和控制服务器。保护Sophos使用但不限于以下签名保护客户:JS/赎金JS/西博-A特洛伊/西博-BTroj/Mdrop GSY公司Troj/Ransom-Bt-A公司Troj/KrypVlt-A公司基于PowerShell的勒索软件PowerShell是一种脚本语言,允许管理员在本地和远程执行任务。我们在2013年初开始注意到基于PowerShell的勒索软件,从那时起,我们已经看到了其他滥用PowerShell的勒索软件的例子。最近,我们遇到了一个新的变种,它模仿了流行的电视节目"Breaking Bad"。他们的赎金记录中包含一个"Los Pollos Hermanos"的图像,并在电子邮件地址中引用电视节目中的内容来联系恶意软件作者,如图1所示。执行PowerShell脚本由VBS下载程序脚本下载,还下载了一个假的.pdf文件,该文件随后执行,假装没有执行任何恶意操作。但是,在后台下载并执行勒索软件脚本。PowerShell脚本有base-64编码的图像、x86和x64平台的反射DLL模块以及基于ransom html的notes。反射DLL模块是一个自定义编译的DLL,用于绕过UAC提升提示。该脚本还包含base-64编码的sprep86.dll和sprep64.dll,通过将反射dll模块注入资源管理器进程来执行以下操作:使用删除卷影副本vssadmin.exe文件禁用windows启动修复禁用系统还原它对用户机器中的某些文件类型进行加密,如图2所示。它使用AES(高级加密标准)加密来加密文件,并使用先前生成的RSA公钥进一步保护文件,如图3所示。付款下面的图4是加密后显示的PowerShell中嵌入的勒索注释。用户需要通过唯一生成的比特币地址使用比特币进行支付。或者,用户可以通过给定的电子邮件ID联系发件人,如图5所示。保护Sophos客户可使用以下签名保护其免受PowerShell勒索软件的攻击:VBS/LPoLock-A,Troj/LPoLock-A,Troj/LPoLock-B,App/PShellInj-A。建议强烈建议启用Sophos HIPS技术以主动阻止勒索软件。如果你怀疑你受到勒索软件的危害,你可以使用我们的免费病毒删除工具删除恶意软件。可悲的是,除了支付赎金,你没什么办法取回你的文件——加密太强了,无法破解。除了安装防病毒软件

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/51791.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6977185访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X