这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

新聞中心

了解江民最新動態(tài)

“Syrk”勒索病毒瞄準游戲行業(yè),偽裝外掛謀取巨額贖金

2019-08-26?來源:安全資訊

1 惡意代碼概況 近期江民赤豹網(wǎng)絡(luò)安全實驗室跟蹤捕獲一款名為Syrk的開源勒索軟件,該勒索軟件針對《堡壘之夜》游戲玩家,通過偽裝成自動瞄準的外掛程序誘導(dǎo)游戲玩家下載安裝,最

1 惡意代碼概況

近期江民赤豹網(wǎng)絡(luò)安全實驗室跟蹤捕獲一款名為“Syrk”的開源勒索軟件,該勒索軟件針對《堡壘之夜》游戲玩家,通過偽裝成自動瞄準的外掛程序誘導(dǎo)游戲玩家下載安裝,最終加密受害者的磁盤文件實現(xiàn)勒索目的,由于該游戲玩家眾多,因此受到該勒索軟件的影響范圍較大,江民網(wǎng)絡(luò)安全實驗室第一時間對捕獲的樣本進行了詳細分析,發(fā)現(xiàn)該勒索軟件具有較大缺陷,因此可以在不繳納贖金的情況下進行解密,江民赤豹網(wǎng)絡(luò)安全實驗室提醒廣大游戲用戶謹慎使用游戲輔助工具,安裝防病毒軟件并保持更新病毒庫的習(xí)慣,防止遭受惡意代碼的攻擊。

 

2 惡意代碼信息

名稱:Syrk勒索軟件

類型:勒索軟件

MD5:da6b7ddd28dc387bcd10b180c9bdff58

SHA1:c29cd8c4370576afb63deea020bcafd8c0638de0

文件類型:Win32 EXE

文件大小:12849152 bytes

傳播途徑:偽裝正常文件下載傳播、USB感染傳播

影響系統(tǒng):Win7,Win8,Win10
 

3 惡意代碼危害

《堡壘之夜》是一款在國內(nèi)外十分受歡迎的射擊類游戲,該系列游戲已有超過2.5億的注冊玩家數(shù)量,該游戲在國內(nèi)由騰訊代理,其熱度幾乎能與《絕地求生》游戲相媲美。

“Syrk”勒索病毒主要通過AES加密算法加密用戶特定類型的文件,偽裝游戲外掛誘導(dǎo)下載執(zhí)行,“Syrk”還會嘗試感染USB驅(qū)動器擴大傳播。“Syrk”會修改系統(tǒng)注冊表,釋放的cry.ps1腳本,加密過程中使用標準AES算法對指定類型的文件進行加密,加密密鑰使用硬編碼寫在powershell文件中,加密文件會添加后綴.Syrk;主程序中還會監(jiān)視用戶是否啟動了Taskmgr、Procmon64、ProcessHacker三個進程,阻止用戶啟動相關(guān)的進程管理工具檢查并結(jié)束勒索軟件進程。

Syrk每兩個小時刪除一次文件來誘騙用戶盡快支付贖金,啟動釋放的文件之后,主程序直接彈出勒索提示,要求用戶在2個小時之內(nèi)聯(lián)系panda831@protomail.com進行付費解密操作。

 

4 應(yīng)對措施及建議

1)不從互聯(lián)網(wǎng)下載可疑的程序執(zhí)行;

2)使用USB設(shè)備前檢查拷貝的文件是否正常;
 

5 文件解密方法

研究人員發(fā)現(xiàn),此勒索樣本存在較多缺陷,通過簡單操作可以進行解密,無需交付贖金,解密方法如下:

方法一:

由于此樣本僅僅使用了AES對稱加密算法進行加密,且密鑰直接以明文方式硬編碼在powershell腳本中,且解密腳本也嵌入在資源節(jié)中,因此最簡單的方式就是直接將資源中的解密工具復(fù)制出來雙擊即可解密;

 

 

 

方法二:

由于惡意代碼在編寫過程中的缺陷導(dǎo)致所要求的密碼也存放在了本地,可以通過C:\Users\Default\AppData\Local\Microsoft\-pw+.txt找到密碼實現(xiàn)解密,輸入密碼后即可正常實現(xiàn)文件解密過程;

 

 

 


詳細分析報告請訪問:

http://www.tlhnw.com/download/Syrk.pdf


更多推薦
鄂州市| 东宁县| 阳山县| 沧源| 仪陇县| 宣城市| 会昌县| 太保市| 盱眙县| 靖西县| 玛多县| 临夏市| 平顺县| 兰溪市| 浙江省| 林周县| 北流市| 镇江市| 五指山市| 乐陵市| 舟曲县| 房山区| 东平县| 通城县| 三台县| 固始县| 阿拉善左旗| 嵊泗县| 普兰县| 定结县| 玉环县| 启东市| 安宁市| 射阳县| 本溪| 临潭县| 湘西| 宁陕县| 宁都县| 施秉县| 左权县|