肾重,注意CryptoWall恶意勒索

重点,来源系上网果阵通过广告同FLASH来入侵,唔是通过本地软件运行!

其目的是用RSA-2048加密你的文件,要你俾钱赎解密密钥。

其实系墙里边呢D嘢是入唔到来的,乜都唔识的小白反而相对安全,不过要FREE的老司机,反而有奶嘢的可能。

因为我就差D奶嘢。。。呢个唔重要,重要系,来总结一下经验。


传播方式,主要是服务器被黑。以后用户打开网页果阵就自动系</head>后边加入如下边D嘢:

二级域名果D系可以变的,单独防来是冇意义的,呢方面只要系路由器上边的dnsmasq屏蔽两个域名: ddnsking.com 和 hopto.org,就得了。


潜在奶嘢条件:
1,旧版FLASH,懒得升级,而且是没沙盘的版本。
2,IE,不过唔系直接运行IE浏览器,是通过IETAB之类的运行。

来分析一下:
1,旧版FLASH出事就唔好冤人了,怪自己,唔好再理果D冇沙盘版本了,出咗事喊都冇眼泪。膨膨声装返个新版。
2,其实用IE的新版是好安全的,但是,我系FIREFOX上用IETAB果阵,是冇任何安全功能的,FF的插件更加没可能对IETAB控制,咁唔奶嘢先奇。。。

顺手系度呼吁,钟意用IETAB睇网页果D人,自己执生了。

防范方法是天生的,因为我地有墙,各位老司机可以考虑封咗GG的“双击.com”,或者FLASH入沙等。


来讲一下奶少少嘢的情况(我)。。。

1,程序首先系各盘下的各子目开始生成四个文件:

HELP_DECRYPT.PNG
HELP_DECRYPT.TXT
HELP_DECRYPT.URL
HELP_DECRYPT.HTML(木马)

2,启动伪造svchost,大概!没认真记,当然启动的命令行都没记低。

3,系系统盘下生成,D:\a82ad7d8\a82ad7d8.exe,当然,个名应该是随机的。

4,系当前用户的启动同注册表添加启动项

startup:D:\Users\ztj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a82ad7d8.exe
file:D:\Users\ztj\AppData\Roaming\a82ad7d8.exe
file:D:\Users\ztj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a82ad7d8.exe
runonce:[email protected]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\*82ad7d8
regkey:[email protected]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\\*82ad7d8

5,同时会系注册表加:

“HKEY_CURRENT_USER\Software\2759BC6BFEA682F86FA896FBC7A8EFFA”
子键有一个“5K”是公钥,子项“667889AAABCEFFFF”是用来记录修改过的文件。

6,唔知了,唔敢再继续玩了。。。


另外,我事后系揾咗下相关资料,以下两篇有兴趣可以睇下。

http://bbs.pediy.com/showthread.php?p=1366574
http://www.precisesecurity.com/rogue/remove-cryptowall

《肾重,注意CryptoWall恶意勒索》有2个评分

★★★★★
★★★★
★★★
★★
1
1
0
0
0

发表评论

电子邮件地址不会被公开。 必填项已用*标注