详细分析
病毒作者通过易语言论坛和QQ群与攻击目标联系,之后会使用如下方式诱导攻击目标执行病毒代码:
- 通过精易论坛接单系统联系攻击目标,以有偿修改代码作为诱饵,将植入勒索病毒代码的易语言模块和源文件发送给接单者。当接单者编译运行后,即会被勒索病毒加密文件。相关帖子,如下图所示:
精易论坛
- 通过QQ群联系攻击目标,以帮助其脱壳为由,将编译后的勒索病毒直接发送给群成员。当群成员进行脱壳操作运行病毒后,即会被加密文件。相关受害者发布的论坛帖子,如下图所示:
吾爱破解论坛
病毒存在于被篡改之后编译的精易模块中,引用此模块编译出的可执行程序均带有如下病毒代码:
修改后带毒的精易模块
该勒索病毒会加密C盘桌面和其他盘符上,除自身文件、.lnk文件和没有后缀名文件以外的文件,并在目录下释放勒索说明文档。相关现象,如下图所示:
加密文件并释放勒索信
勒索病毒使用非对称加对称加密算法(RSA+DES),暂时无法解密。相关代码,如下图所示:
RSA加密DES密钥生成用户id
DES加密文件内容
我有整理了【网络安全】的一些资料
有需要的可以call me
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
