西西軟件園多重安全檢測下載網(wǎng)站、值得信賴的軟件下載站!
西西首頁 電腦軟件 安卓軟件 電腦游戲 安卓游戲 排行榜 專題合集

敲詐者Virlock病毒完整技術(shù)分析軟件

10.6
  • 敲詐者Virlock病毒完整技術(shù)分析軟件10.6
  • 軟件大小:711KB
  • 更新時(shí)間:2016-06-03 11:54
  • 軟件語言:中文
  • 軟件廠商:
  • 軟件類別:國產(chǎn)軟件 / 免費(fèi)軟件 / 木馬查殺
  • 軟件等級:4級
  • 應(yīng)用平臺:WinAll
  • 官方網(wǎng)站:暫無
  • 應(yīng)用備案:
好評:50%
壞評:50%

軟件介紹

敲詐者Virlock病毒完整技術(shù)分析是針對最近傳入我國的新的病毒敲詐者Virlock采取的一種解決方案,敲詐者Virlock病毒破壞性強(qiáng),傳播快,這套技術(shù)分析已經(jīng)得到實(shí)際認(rèn)可,有需要的朋友可以下載體驗(yàn)。

最新消息:

近日,360QVM發(fā)現(xiàn)一款名為VirLock的“敲詐者”病毒開始在國內(nèi)出現(xiàn),此病毒與剛傳入中國的CTB-Locker“敲詐者”病毒如出一轍,均通過強(qiáng)鎖電腦里的文檔、圖片等重要資料,借機(jī)敲詐用戶贖金0.71比特幣(約1000元人民幣)。VirLock敲詐者病毒最早在國外流行,比CTB-Locker“敲詐者”病毒感染的文件類型更多,包括了常見的MP3和MPG等影音文件,這意味著受影響的用戶范圍會更大,傳播也會更廣。目前,360是全球唯一可以成功修復(fù)還原VirLock感染文件的安全軟件。

360QVM團(tuán)隊(duì)第一時(shí)間對VirLock“敲詐者”病毒進(jìn)行了技術(shù)分析:

近期360安全中心檢測到大量文件被一種叫做VirLock的敲詐病毒感染病毒會全盤遍歷硬盤中的可執(zhí)行文件及文檔、圖片等文件,并將其加密,鎖住用戶的windows帳號,并彈框威脅用戶付費(fèi)解密文件。

此為360安全中心首次截獲具有感染能力的敲詐病毒,傳播能力較強(qiáng),具有多態(tài)變形能力,危害極大,請用戶提高警惕。

目前使用360全線產(chǎn)品可以完美修復(fù)系統(tǒng)中被感染的文件。

樣本信息:

1.360云安全中心已捕獲Virlock相關(guān)樣本近8萬個(gè);
2.國外最早發(fā)現(xiàn)此病毒的為ESET(2014年12月)。目前,360是全球唯一可成功修復(fù)Virlock變種感染文件的安全軟件。

病毒描述:

攻擊行為一:感染用戶數(shù)據(jù)文件及可執(zhí)行文件

感染文件類型,包括但不限于:

被感染的文件與原文件圖標(biāo)一致,但是被感染文件是一個(gè)可執(zhí)行病毒文件,結(jié)構(gòu)大致如下:

病毒會遍歷所有的磁盤,網(wǎng)絡(luò)共享路徑。加密感染之后,病毒會記錄一個(gè)文件列表在%userprofile%\????.txt中(?為隨機(jī)字母)如下圖所示。

攻擊行為二:加密用戶登陸密碼

加密當(dāng)前用戶賬戶,并創(chuàng)建一個(gè)新的賬戶:

用戶重新登錄時(shí),進(jìn)入的桌面環(huán)境為全新的用戶環(huán)境,包括我的文檔,桌面等文件路徑均與之前的環(huán)境不同。

如圖:用戶感染此病毒之后,登錄界面會多出一個(gè)用戶(用戶名隨機(jī)),且都需要密碼才可以進(jìn)入。

 

攻擊行為三:關(guān)閉系統(tǒng)安全功能

禁用UAC,使用戶賬戶控制功能失效。

攻擊行為四:實(shí)現(xiàn)自啟動

實(shí)現(xiàn)自啟動項(xiàng):


會釋放文件到%userprofile%中,創(chuàng)建隨機(jī)文件夾,文件夾設(shè)為隱藏屬性,以及隨機(jī)文件名。

釋放文件:


寫入垃圾數(shù)據(jù),長度0×200字節(jié)(以對抗殺軟檢測):

使用NTFS系統(tǒng)的權(quán)限特性,對文件夾進(jìn)行鎖定,用戶無法打開,刪除文件夾。

(注:XP Professional中,需要在文件夾選項(xiàng)中關(guān)閉“簡單文件共享”,才可以看到安全選項(xiàng)卡,XP Home版無此功能。)


攻擊行為五:隱藏病毒體文件

病毒會修改注冊表,以隱藏文件擴(kuò)展名及相關(guān)文件:

攻擊行為六:彈出勒索提示

病毒全盤感染完畢之后,會彈出勒索提示框進(jìn)行警告,病毒會勒索0.71 BTC(約合人民幣1000元)。

如下圖所示:


安全建議:

1.不要隨意點(diǎn)擊或運(yùn)行未經(jīng)過確認(rèn)對方身份的郵件附件。特別注意的是.scr .exe 等可執(zhí)行文件。
2.更新電腦中的安全軟件,目前360系統(tǒng)急救箱可以檢測并修復(fù)被感染文件,隨后360全線安全產(chǎn)品將支持被感染文件修復(fù)。
3.選擇單獨(dú)硬盤對電腦中重要的數(shù)據(jù)資料進(jìn)行日常備份,防止數(shù)據(jù)被加密等意外狀況。
VirLock技術(shù)細(xì)節(jié):
1.恢復(fù)原始文件:

由于病毒將原始數(shù)據(jù)包含在自身之中, 所以病毒首先需要將原始數(shù)據(jù)解密,然后執(zhí)行之,然后運(yùn)行,文件恢復(fù)的流程如下:


解密方式較為復(fù)雜,有三層解密。

第一層解密:

主要是為了解密第二層,解密算法為循環(huán)左移操作:

第二層解密:

其目的是為了解密第三層的解密代碼,解密算法為異或操作。

第三層解密:

解密原始文件名,原始數(shù)據(jù)等關(guān)鍵數(shù)據(jù)。解密方式為異或與循環(huán)右移相結(jié)合。

如圖:解密出來的原始文件名為2009 &10 015.jpg:


解密出來的原始數(shù)據(jù):


2.代碼對抗

(1)對抗虛擬機(jī)

病毒采用多態(tài)變形技術(shù),從入口開始隨機(jī)調(diào)用API,和虛擬機(jī)進(jìn)行對抗,增加分析難度。


(2)對抗靜態(tài)分析

病毒在解密之后,采用了大量成對的”XCHG EAX,EBX”,使代碼易讀性降低,增加分析難度:


(3)對抗動態(tài)分析

在運(yùn)行的過程中,采用了大量的rdtsc進(jìn)行時(shí)間判斷,用于檢測是否處于調(diào)試狀態(tài),如果調(diào)試則執(zhí)行不同分支,增加調(diào)試復(fù)雜度。

(4)對抗手動清除

病毒會創(chuàng)建多個(gè)進(jìn)程,且互相看護(hù),如果其中任何一個(gè)進(jìn)程結(jié)束,則會重新創(chuàng)建一個(gè)新的實(shí)例,死而復(fù)生,永無休止。

如圖:框中的三個(gè)進(jìn)程互為守護(hù)進(jìn)程。

軟件標(biāo)簽:

其他版本下載

發(fā)表評論

昵稱:
表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
查看所有(0)條評論 > 字?jǐn)?shù): 0/500

TOP
軟件下載