伴随开学季到来,有安全厂商已截获到针对教育机构的全新勒索病毒Ouroboros,此勒索病毒在加密文件完成后会添加.[ID=十位随机字符][Mail=unlockme123@protonmail.com].Lazarus的后缀,亚信安全将其命名为Ransom.Win32.OUROBOROS. *** 。随着深入的分析,安全专家发现了黑客使用的FTP服务器,服务器上还存有Ouroboros勒索病毒变种文件,安全专家推测该勒索病毒目前正处在持续更新中。
勒索病毒Ouroboros详细分析
安全专家分析发现,该勒索病毒源文件并未加壳:
使用IDA打开此文件,加载符号文件时发现病毒作者编译程序留下的符号文件位置,以此确定此勒索病毒为Ouroboros:
初步分析,该勒索病毒中有大量的反调试函数,或者通过函数中包含return函数的形式增加病毒分析难度:
进入到程序关键函数,该勒索病毒会调用PowerShell程序,通过vssadmindelete shadows /all /y命令删除卷影副本:
然后加载病毒中需要的信息,如邮箱信息,生成ID:
爱美是人之天性,人人爱美,女人最怕的就是青春不在,美丽的容颜渐渐的老去,脸上长满雀斑,皮肤变成黄色。于是,就有了形形色色的整容机构出现了。美女人爱美,人之天性,哪个女人不爱美,澜羽亿渼诺是一般女人的首...
据NHK刚刚报道,受疫情影响,日本北海道知事表示将宣布进入紧急状态,呼吁民众本周末不要外出。 延伸阅读: 新冠疫情不断扩大,日本北海道1600所公立中小学停课 由于新冠疫情在日本不断扩...
再次检查链接正常1.强制下载后缀名为ASP、ASA的数据库文件Ualpha表明26为大写字母企业在为安全做了多层防护不是一个IDS,WAF,杀毒软件安全防护能搞定事,为何内网一触即溃,真有进犯发作时,...
【PConline 杂谈】黑莓近况如何?黑莓KEYone怎么样?对于许多资深手机玩家来说,黑莓这个品牌一定不陌生。在今年的MWC 2017大展上,TCL通讯发布了一款命名为KEYone的实体全键盘手机...
1 电话查询 社保局的电话是12333,同时也可以通过社保卡服务热线进行查询,这个时候客服最清楚你的社保卡办理进度了,他们内部系统很方便查询。 2 网络查询 直接在搜索引擎中搜索办理所在地的...
1、 将HackActivity.smali文件放入hellosmali文件夹;得分 如果你对chown的开关选项有深入的了解的话,那么你一定知道下面这个选项。 ScriptPacket双向ARP诈骗...