来自 DDOS 2022-05-31 01:20 的文章

ddos怎么防_高防护服务器_精准

ddos怎么防_高防护服务器_精准

Avast Threat Labs发现了一个新的匈牙利勒索软件样本,该样本模仿Locky。

在Avast Threat Labs,防御cc用什么,我们不断监控威胁情况并评估当前风险。大多数情况下,我们都会面临流行的恶意软件,如Locky或Cerber勒索软件,但我们的自动化系统会不时提醒我们野生样本中活动样本的异常情况。这些警报要么是已知恶意软件使用的新技术,要么是新病毒株的发现。

这是一篇关于我们发现"哈奇"勒索软件的短篇故事。

几天前,我们的系统通知我们正在检测和阻止一个新勒索软件样本。基于我们沙箱中的行为报告,此示例尝试加密用户文件并在其名称后附加".locky"扩展名。我们立刻想到了Locky勒索软件,但我们很快意识到它不是Locky,因为Locky不再使用.Locky扩展名。此外,大多数常见的洛克特定折衷指标(IOC)不在本样本中。因此,防御cc攻击书籍,它引起了我们的注意,我们开始深入挖掘并分析这个勒索软件样本。

我们尝试在虚拟机中执行这个样本,并让它在安全的环境中运行。执行结束时,机器的外观如下:

新墙纸:

显示的文本和赎金支付说明:

我们的诱饵文件已加密并重命名:

如果您看到一台机器感染了Locky,它可能看起来非常相似:带有赎金说明的新墙纸(使用与上面相同的字体和颜色渲染),同样的文本再次显示在记事本中,最重要的是,文件被加密并重命名为文件名+".locky"。

。但正因为这个新示例看起来像locky,并称其文件为Locky并不意味着它是Locky!

我们之前曾写过勒索软件品种,它们模仿更"成功"的品种,防御DDoS攻击的11种方法,以增加获得勒索付款的机会,这是另一种。根据以下线索,我们将这一种命名为Hucky,是匈牙利语Locky的缩写。当我们把这两种菌株并排放置时,我们可以看到几个不同:

上面是一个加密文件示例–哈奇(上图)和洛克(第二幅图像)。

上面是赎金指令–哈奇指令(上图)和洛克指令(第二幅图像)。

上面是带赎金指令的墙纸–哈奇墙纸(上图)和洛克墙纸(第二幅图像)。

正如我们所说在我们的分析过程中发现,哈奇有着显著的匈牙利足迹。

哈奇与受害者的所有互动都是用匈牙利语进行的。此外,Hucky的可执行文件中散布着与匈牙利相关的名称,如semmi.exe(匈牙利字,不含任何内容)或turul.exe(匈牙利国家符号的名称)。

此外,Hucky的代码中也使用匈牙利语,如名称空间、方法和变量的名称等。

下图中可以看到一个示例。突出显示的文本混合了匈牙利语和L33t语。它可以粗略地翻译为作者的自白:"我讨厌这样做,但我喜欢钱。"

哈奇的另一个起源是所谓的PDB调试字符串,编译器会自动将其插入可执行文件中。这些字符串可以显示作者的用户名以及项目名称:

早期版本(于2016-10-04年编译):

C:\Users\Dani\Desktop\nocrime\nocrime\obj\x86\Debug\turul.pdb

后期版本(于2016-10-06年编译):

C:\Users\user\Desktop\kalosip\titkoss\obj\x86\Debug\mgtow.pdb

在我们的例子中,作者的用户名最初是"Dani"(可能是Dániel)。在发布初始版本几天后,怎么防御好cc,作者开始通过一个通用的"用户"帐户隐藏用户名。另一个有趣的信息是项目名称"Titkos"。这可能来自匈牙利语"titkos",域名高防cdn,可以翻译为"secret"。这意味着作者不仅使用匈牙利语作为与受害者的交流语言,而且还使用匈牙利语进行内部命名。

此外,匈牙利文本似乎不是机器翻译的(尽管它们包含一些拼写错误)。

我们可以得出结论,哈奇是一种新的勒索软件,目前只针对匈牙利用户。根据上述线索,该书的作者很可能是以匈牙利语为母语的人。匈牙利人的倾向可能也是哈奇目前患病率较低的原因。最后,我们应该提到哈奇毫不掩饰地努力让自己看起来像洛克。

我们将监测这一威胁,并告知您其变化或发病率增加。同时,,停留安全性:

SHA256:

安全性:

SHA256::

SHA256::

边缘边缘边缘边缘边缘边缘边缘边缘边缘边缘边缘::

边缘边缘B1B132B6 B6 6 B6 B6 B6 B6 B6 B6 B6 B6 B6 B6 B6 B6 6 6 CD496 6 DD404040404040CDB6 B6 BB7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 348C0901f

7F71949CDFB0981F64EAAAE9B3C9FDC68DC31BAE97FAC606597F010637054F2

8f912771316d589be797feb1c2c5d2fd820c833f3c131760424b79aef76e2000

CBDEC0F2FDF8C52F36B8BAA0772BB18021A839AC856DD656F9EFFC30B64D

文件:

ADATOO VISSZAALLIZTASHOUTASU SITASOK.txt

启动指令Update.exe

\Startup\Fontos Informacio.bmp

\Temp\monodocu.dat

\Temp\d3m4g0g.dat

/\\Temp\\[A-Za-z0-9]{6}\.bat$/

Avaddon勒索软件集团在保险公司宣布放弃对法国勒索软件支付的支持后仅仅一周,就以DDoS攻击和勒索软件作为亚洲保险公司AXA的目标。

安全专家分析最新的勒索软件威胁,目前正在锁定世界各地的系统。

了解美国财政部威胁朝鲜政府支持的黑客组织意味着什么。