科技博客|新闻博客 - 国内最强大的博客网站 ? 互联网 ? 加强版GlobeImposter勒索病毒来袭 亚信安全详解病毒技术细节

加强版GlobeImposter勒索病毒来袭 亚信安全详解病毒技术细节

  原标题:加强版GlobeImposter勒索病毒来袭 亚信安全详解病毒技术细节

  近日,亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播,此次勒索病毒变种繁多,被加密后的文件扩展名也各不相同,包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播,与以往不同的是,此次变种会通过邮件来告知受害者付款方式,勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族,并将其命名为RANSOM_FAKEGLOBE。

  亚信安全详解病毒技术细节

加强版GlobeImposter勒索病毒来袭 亚信安全详解病毒技术细节

  Globelmposter家族首次出现时间为2017年5月,近日再次活跃,并有大量变种来袭。亚信安全已经拦截该家族的最新变种,将其命名为RANSOM_FAKEGLOBE.THAOLAH。

  该病毒在被感染系统中生成如下自身拷贝文件:

  · %Application Data%\\{ Malware name }.exe

  为达到自启动目的,该病毒添加如下注册表键值:

  · HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce BrowserUpdateCheck = %Application Data%\\{Malware name}.exe

  该病毒避免加密文件名中含有下列字符串的文件:

  · {Malware name }

  · how_to_back_files.html

  · {GUID}

  该病毒避免加密下列文件夹中的文件:

  · Windows

  · Microsoft

  · Microsoft Help

  · Windows App Certification Kit

  · Windows Defender

  · ESET

  · COMODO

  · Windows NT

  · Windows Kits

  · Windows Mail

  · Windows Media Player

  · Windows Multimedia Platform

  · Windows PhoneKits

  · Windows Phone Silverlight Kits

  · Windows Photo Viewer

  · WindowsPortable Devices

  · Windows Sidebar

  · WindowsPowerShell

  · NVIDIA Corporation

  · Microsoft.NET

  · Internet Explorer

  · Kaspersky Lab

  · McAfee

  · Avira

  · spytech software

  · Sysconfig

  · Avast

  · Dr.Web

  · Symantec

  · Symantec_Client_Security

  · system volume information

  · AVG

  · Microsoft Shared

  · Common Files

  · Outlook Express

  · Movie Maker

  · Chrome

  · Mozilla Firefox

  · Opera

  · YandexBrowser

  · Ntldr

  · Wsus

  · ProgramData

  被加密后的文件扩展名为:

  · crypted!

  其会在加密文件路径下,生成如下勒索提示信息文件:

投稿邮箱:jiujiukejiwang@163.com ??详情访问99科技网:

相关文章