破坏系统+加密文件的高危病毒来袭 国外大量公司已中招
|
副问题[/!--empirenews.page--]
克日,瑞星安详专家捕捉到一个极具粉碎性的打单病毒LockerGoga,该病毒影响恶劣,不只会配置开机要码,同时还会加密电脑中的文件,因为加密的文件中包罗重要的体系文件,因此会导致计较构造机或重启后无法进入体系,纵然用户重装体系,重要文件也无律例复。
电脑被加密后无法重启视频:https://v.qq.com/x/page/l0859yz7fus.html 据媒体报道,今朝海外大量公司均已蒙受进攻,个中包罗环球最大的铝供给商挪威海德鲁公司Norsk Hydro(丧失逾4万万)、美国瀚森化工公司Hexion Specialty Chemicals、美国有机硅巨头迈图团体Momentive、Altran Technologies公司等。 瑞星安详专家通过进一步说明发明,LockerGoga打单病毒之以是很伤害,是由于它不只会加密文件举办打单,并且还会粉碎操纵体系,这种举动与常见的打单病毒截然差异,可以说具有明明的恶意进攻意图。 今朝,按照瑞星监测数据表现,暂未发明该病毒在海内的大局限进攻变乱,安详专家提示宽大用户提前做好以下防止法子,以防LockerGoga打单病毒提倡恶意进攻。 防止法子
应急法子
病毒说明 1. 不带参数的历程 (1) Windows历程提权。
图:历程提权 (2) 将病毒措施移动到C:UsersAdministratorAppDataLocalTemp目次下,重定名后的名称是tgyturcXXXX.exe(XXXX为四个随机数字)。
图:移动目次 (3) 将tgyturcXXXX.exe以呼吁行-m的方法启动。该历程会建设呼吁举动i SM-tgytutrc -s的多个子历程。
图:建设历程 (4) 在桌面建设打单信"README_LOCKED.txt"。
图:打单信息
图:打单信内容 2. 带参数- m的父历程 (1) 建设互斥体"MX-tgytutrc"。 图:互斥体 (2) 遍历磁盘文件。 图:遍历磁盘 (3) 建设呼吁行参数是 i SM-tgytutrc -s的子历程,并一向监控子历程的状态,假如子历程不测封锁则从头建设带此参数的子历程。 图:建设历程 三、带参数 i SM-tgytutrc -s的子历程 (1) 打开父历程创的互斥体"MX-tgytutrc",假如互斥体不存在,子历程会退出。 图:打开互斥体 (2) 子历程获取父历程传过来的用base64加密的文件路径,用base64解密后,获得要加密的文件路径。 图:获取路径 (3) base64解码得到RSA公钥。
图:RSA公钥 (4) 加密文件,在文件名称后追加“.locked",加密算法回收的是AES算法加密,AES的密钥是随机天生的,而且被RSA公钥加密后追加到了被加密的文件末端处。
图:加密文件 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
