勒索病毒冲着企业服务器来了 CSO们怕了么?
发布时间:2018-07-14 15:09:54 所属栏目:教程 来源:腾讯御见
导读:【资讯】 一、背景 近期,针对Windows服务器攻击的勒索病毒持续传播,尤其是2018年年初国内数家机构服务器被GlobeImpsoter勒索病毒攻击,导致业务大面积瘫痪,这引起了大家对服务器安全的关注。 根据腾讯御见威胁情报中心监控,每周都有企业Windows服务器
|
解密出来的bat文件内容如下 Bat会删除远程桌面连接信息文件default.rdp,并通过wevtutil.execl命令删除日志信息 四、Crysis样本分析 1.病毒通过自建IAT的方式,运行后首先解密需要使用的动态库,API字串,随后通过LoadLibraryA,GetProcAddress循环遍历来动态获取解析使用的API,获取函数地址后填充IAT表,随后病毒所有的API调用均使用: MOVEAX,[IAT-FUN-ADDR] jmp004066c0 004066c0:CallEAX 的方式来间接调用,这样做也导致了静态分析情况下导入表中无法看到病毒调用相关敏感Api。 2.运行后的病毒首先会关闭以下大量服务,来确保待加密文件不被占用,加密文件时不会产生异常。 3.同时结束下列进程,主要为数据库相关进程,其目的也是为了防止加密文件被占用,从关闭的进程列表也可看出,病毒主要攻击使用sqlserver,mysql数据库的服务器。 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
