来自 数据 2021-12-14 08:17 的文章

国内高防cdn_cc如何防护_新用户优惠

国内高防cdn_cc如何防护_新用户优惠

在这个恶意软件分析聚光灯下,VMRay实验室团队研究了Rhino勒索软件的行为(第一次发现是在2020年4月)。这个样本是由Twitter用户@GrujaRS在5月4日发现的。查看VMRay Analyzer报告勒索软件加密用户文件前的第一步是禁用各种服务:wscsvc(Windows安全中心服务)WindeFind(Windows Defender服务)Wauserv(Windows更新服务)位ERSvc(错误报告服务)和WerSvc(Windows错误报告服务)恶意软件作者正在禁用这些服务,ddos攻击(流量攻击)防御步骤,防御ccddos,这些服务会导致中断(如在Windows更新后重新启动)或加密错误(使用Windows Defender通知最终用户恶意活动)。除了停止系统服务外,azureddos防御,勒索软件还试图停止运行Microsoft Exchange、sqlserver和sqlwriter的任务。停止这些任务也是确保它能够加密Microsoft Exchange在加密期间可能仍在使用的所有文件的一种方法。通过专注于微软Exchange,这可能意味着Rhino勒索软件可能会瞄准企业。它通过删除相关数据(如卷影副本和备份目录)以及使用bcdedit禁用Windows恢复模式,阻碍从备份中恢复。通常,这些命令是硬编码在程序/恶意软件中的,但在本例中,这些命令作为资源文件嵌入。这种设计允许恶意软件作者在不改变内部逻辑的情况下更改/更新命令。为了实现持久性,示例将自身复制到%AppData%目录中,维盟DDOS自动防御,并将其作为"mshtop32位.exe,并在HKEY U LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中创建一个值为"mavelhost"的新条目。在文件被加密后,它将文件标记"Marvel01"添加到内容的偏移量filesize-32处,高防cdn3元一月,并附加字符串[邮箱:generalchin.com].rhino"到文件名。附加字符串中的电子邮件也会显示在赎金单中。勒索软件排除扩展名为exe、sys、lnk、dll、msi及其勒索说明的文件。为了通知用户感染,文本文件"ReadMe_解密器.txt"被放到不同的目录中。此外,另一张赎金单("解密器_信息hta")被放入%AppData%并显示给用户。SHA256:8AF0D99CEF6FB1D04083FF8934F9A7CE01F358CA796B3C60087A2EBF6335C83关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。