1. 欢迎使用xlink123.com访问北京pk10网!
  1. 手机北京pk10|

攻击者正在搜寻那些正在运行Windows

分类: 北京pk10价格|时间:|阅读量:

北京pk10网导读:原标题:开启远程桌面服务需谨慎 攻击者利用PsExec传播勒索软件HC7 在上个月,安全研究人员发现了一种名为HC7的新型勒索软件,那些正在运行Windows远程桌面服务且可公开访问的计算机

  原标题:开启远程桌面服务需谨慎 攻击者利用PsExec传播勒索软件HC7

  在上个月,安全研究人员发现了一种名为HC7的新型勒索软件,那些正在运行Windows远程桌面服务且可公开访问的计算机成为了它的受害者。

  最初被发现的并不是HC7,而是HC6。由于它是一个基于Python转换成exe的可执行文件,ID Ransomware的创建者Michael Gillespie在提取到其脚本后,确定它是可解密的,并且释放了一个免费的解密器。

  不幸的是,仅在几天之后,HC6的开发人员就发布了一个名为HC7的新版本。这个版本是不可解密的,因为他们删除了硬编码的加密密钥,改为在勒索软件可执行文件运行时切换到输入密钥作为命令行参数。

  目前,攻击者正在搜寻那些正在运行Windows远程桌面服务且可公开访问的计算机。一旦发现,他们会设法入侵这些计算机。在入侵成功后,HC7将会被安装。不仅如此,攻击者还会使用PsExec(一种远程管理协议)搜寻在网络中的其他计算机并安装勒HC7。在下面的源代码中使用Psexec是显而易见的,攻击者会特意查找psexec.exe并跳过,以防它被加密。

  如上所述,当勒索软件可执行文件运行时,攻击者将提供加密密钥作为命令行参数。然后,使用此密钥通过AES-256加密对与以下扩展名匹配的文件进行加密。

  当HC7加密一个文件时,它会在加密文件的文件名后加上.GOTYA扩展名。例如,文件test.jpg将被加密并重命名为test.jpg.GOTYA。

  HC7会在每个文件夹中创建一个名为“RECOVERY.tx”t的赎金票据,包含一个比特币钱包地址、一个受害者ID、付款指示和一个电子邮箱地址(,以便受害者可以用来联系攻击者。目前,赎金需求分为两种形式:单台计算机,价值700美元的比特币;整个计算机网络,价值5000美元的比特币。

  受害者ID是由计算机名称加上字符“09”,然后通过编码结果来创建的。而比特币钱包地址会从14个地址中随机选择1个。

  值得庆幸的是,由于加密密钥作为命令行参数传递给程序,这使得可以通过内存快照来进行解密。

  Ryan和他的团队使用了有一个名为“Magnet Ram Capture” 来生成计算机内存快照并将其写入硬盘。然后,使用Volatility框架从内存快照中提取所需的命令行信息。这样,通过在Michael Gillespie提供的HC6解密器中输入这些信息就可以解锁文件。

[来源:未知][编辑:admin]

【北京pk10网】用最朴实的百姓语言,专业普及滋补养生知识,可推荐给您身边的亲人朋友和有缘者,让他们同享健康!有朋自远方来,不亦乐乎。喜欢养生的朋友加我微信号:chun385