来自 安全 2021-07-14 08:13 的文章

防ddos攻击_360网站防护_限时优惠

防ddos攻击_360网站防护_限时优惠

Ofer Shaked和Maayan Fishelov合著背景Odveta是一个勒索软件,已经在多个工业网络中被观察到。它没有自动传播机制,通常用于网络犯罪分子的目标攻击。在每个文件夹(包括桌面)上都会创建一张勒索便条,上面有如何使用比特币支付赎金的说明。Odveta是King Ouroboros勒索软件的变体,它基于一个名为CryptoWire的开源勒索软件项目。与以前的版本不同,Odveta使用RSA+AES256加密,而不是在以前的版本中仅使用AES。旧的变体包含一个可以使用解密工具解密的加密缺陷。不幸的是,Odveta使用RSA+AES256加密,直到今天,还没有解密工具,使得加密无法逆转。感染方法Odveta通过电子邮件附件、torrent网站和恶意广告发布,也通过RDP exploit BlueKeep进行传递。技术分析勒索软件首先生成一个每次运行都是唯一的ID。这个ID识别受害者,ddos防御是什么意思,并与加密密钥一起发送到C&C服务器。这使得攻击者能够解密单个文件,以向受害者显示他们能够解密这些文件。受害者可以向攻击者发送一封带有加密文件的电子邮件,并从攻击者那里取回解密文件。进程终止服务停止在初始运行时,防御cc最好的办法,Odveta使用"netstop"命令停止以下服务SQL编写器据浏览器MSSQLSERVERMSSQL$CONTOSO1MSDTCSQLSERVERAGENTMSSQLSERVERSQLSERVERAGENTMySQL数据库过程终止sqlserver.exemsftesql.exesqlagent.exesqlbrowser.exesqlwriter.exemysqld.exemysqld公司-nt.exe文件mysqld公司-选项.exe 文件加密Odveta使用RSA+AES256加密算法对所有文件进行加密。加密后,文件将按以下模式重命名[文件名].Email=[Email]ID=[infection_ID].odveta"filename"–原始文件名"电子邮件"–攻击者的电子邮件,与攻击者通信的方式"感染"–确认受害者。赎金单解锁-文件.txt在每个目录中创建,并具有解密文件所需的指令。 与C&C的沟通在第一次运行时,百度云ddos防御,勒索软件与C&C服务器92.222.149.118通信。它通过TCP端口170与它联系并发送以下数据:感染ID加密密钥一旦加密完成,它会再次通过ftp与C&C联系并下载一个名为uiapp.exe. C&C目前已深陷,因此文件不可用。这个可执行文件锁定计算机并显示赎金通知。阻止Windows恢复卷影副本是Microsoft Windows中包含的一种技术,防御ddos云,蠕虫病毒,它可以创建文件或卷的备份副本或快照。Odveta在加密结束时删除所有这些副本,以确保无法恢复vssadmin删除阴影/all勒索软件传播技术勒索软件不会自动传播,通常在有针对性的攻击过程中使用,会被手动或其他黑客工具丢弃。妥协指标(IOC)所有文件都使用以下格式进行加密:[filename].Email=[Email]ID=[infection_ID].odveta与C&C服务器的通信:92.222.149.118(TCP端口170和21)使用电子邮件地址发送/接收的电子邮件编码器。俄语@protonmail.com网站分析样品SHA-256042f4e04042db2edac2a808fd948ccf9558d2f238257a7af51ea762016f59098