Heim  >  Artikel  >  Betrieb und Instandhaltung  >  So analysieren Sie XiaoBa-Ransomware-Varianten

So analysieren Sie XiaoBa-Ransomware-Varianten

WBOY
WBOYnach vorne
2023-05-26 19:14:461538Durchsuche

Übersicht

XiaoBa-Ransomware ist ein in hohem Maße im Inland produzierter Ransomware-Virus. Verbreitung in Form von. Dieser Virus verwendet verschiedene Verschlüsselungsalgorithmen zum Verschlüsseln von Dateien, was es für den Infizierten schwierig macht, sie zu entschlüsseln. Nur durch den Erhalt des entschlüsselten privaten Schlüssels kann der Virus erfolgreich geknackt werden. Wenn das Lösegeld nicht innerhalb von 200 Sekunden gezahlt wird, werden alle verschlüsselten Dateien zerstört.

Die obige Beschreibung stammt aus der Baidu-Enzyklopädie, aber die von mir analysierte XiaoBa-Variante weist nicht die oben genannten Verhaltensmerkmale auf, weist jedoch eine starke Verschleierung und Infektiosität sowie Dateiverschlüsselung und Dateilöschung auf und Bergbau drei Hauptfunktionen.

Beispielanalyse

Dieses Beispiel wurde von Weibu Cloud Sandbox analysiert (siehe „Referenzlinks“ für verwandte Links) und bestätigt, dass es sich um ein bösartiges Beispiel handelt

#🎜 🎜#

So analysieren Sie XiaoBa-Ransomware-Varianten

Verhaltensdiagramm


So analysieren Sie XiaoBa-Ransomware-Varianten

Berechtigungsanpassung

#🎜 🎜# Beispiel Passen Sie nach der Ausführung zunächst die Prozessberechtigungen an, um sicherzustellen, dass Sie über ausreichende Berechtigungen für nachfolgende Vorgänge verfügen

                                                                                                               %systemroot%360360Safedeepscan-Verzeichnis Wenn es sich nicht in diesem Verzeichnis befindet, kopieren Sie es in dieses Verzeichnis und führen Sie es aus. Wenn Sie sich in diesem Pfad befinden, müssen Sie zunächst einige Vorgänge im Zusammenhang mit der Änderung der Systemeinstellungen ausführen:

Dateiattribute ändern So analysieren Sie XiaoBa-Ransomware-Varianten

Sie müssen die Dateiattribute auf geschützte Systemdateien festlegen Deaktivieren Sie die Option „Geschützte Betriebssystemdateien ausblenden (empfohlen)“ in „Ordner- und Suchoptionen“, um

Benutzerkontensteuerung deaktivieren

#🎜 🎜##🎜 anzuzeigen 🎜#Autostart einrichten, Verknüpfung erstellen

So analysieren Sie XiaoBa-Ransomware-VariantenRegistrierung deaktivieren

#🎜 🎜##🎜 🎜#Versteckte Dateien nicht anzeigen

So analysieren Sie XiaoBa-Ransomware-Varianten

Ordner- und Suchoptionen deaktivieren

So analysieren Sie XiaoBa-Ransomware-Varianten

# 🎜🎜#Selbststart erstellen

So analysieren Sie XiaoBa-Ransomware-Varianten

SafeBoot-Option entfernen

So analysieren Sie XiaoBa-Ransomware-Varianten

Festplattendurchquerung

Durchsuchen Sie die Festplatte, erstellen Sie die Datei autorun.inf im Stammverzeichnis der Festplatte, schreiben Sie die folgenden Daten, versuchen Sie, die USB-Festplatte zu infizieren, und stellen Sie diese Datei zwangsläufig auf versteckt#🎜 🎜#So analysieren Sie XiaoBa-Ransomware-VariantenErstellen Sie den Ordner RECYCLERS-5-4-62-7581032776-5377505530-562822366-6588 und kopieren Sie Ihre eigenen Dateien hinein, um die Hosts-Datei neu zu schreiben und die Website des Sicherheitsherstellers umzuleiten

Das Thema

Erstellen Sie schließlich einen Thread. In der Thread-Funktion durchsucht XiaoBa alle Dateien und sucht nach Erweiterungen von .exe, .com, .scr, .pif, .html, .htm, .gho , .iso-Dateien, führen Sie verschiedene Vorgänge für verschiedene Erweiterungen aus.exe, .com, .scr, .pifSo analysieren Sie XiaoBa-Ransomware-Varianten

Schreiben Sie diese Dateien neu und schreiben Sie Ihre eigenen Dateien an den Anfang dieser Dateien, wenn Sie sie später ausführen Wenn diese Dateien gefunden werden, wird ZhuDongFangYu.exe

.html, .htm

am Ende dieser Dateien hinzugefügt . Mein Skript

.gho, .iso

Für diese Dateien direkt löschen

So analysieren Sie XiaoBa-Ransomware-Varianten

1 Der interessante Punkt ist, dass das Symbol dieses Beispiels das Symbol von 360 Antivirus ist, der Name des erstellten Ordners ebenfalls 360 ist und die Symbole der dadurch neu geschriebenen ausführbaren Programme alle durch 360-Symbole ersetzt werden ... #🎜🎜 #

Das obige ist der detaillierte Inhalt vonSo analysieren Sie XiaoBa-Ransomware-Varianten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:yisu.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen