同花顺大智慧通达信平台自编ACE扫单系统

GandCrab v4.1打单软件发布,仍通过虚伪破解软件下载网站流传

[复制链接]
发表于 2018-7-31 07:54:29 | 显示全部楼层 |阅读模式
Zz0SH6L0uUuLuU6u.jpg 仅在GandCrab 4.0发布的两天之后,FortiGuard Labs的研究职员就发现了一个更新的版本(v4.1)。该版本仍利用雷同方法流传,即将被攻陷的网站伪装成破解软件下载站点。
研究职员表现,GandCrab v4.1包罗了一个非常长的硬编码列表,列表的内容是它所毗连到的受感染的网站。在一个二进制文件中,这些网站的数目到达了近千个。
别的,为了生存每个网站的完备URL,GandCrab v4.1利用了伪随机算法从多组预界说词中举行选择。终极的URL接纳以下格式(比方www.{host}.com/data/tmp/sokakeme.jpg)。
ePl6Yi5l1n1KPbPe.jpg 在乐成毗连到URL之后,GandCrab v4.1会向受感染网站发送经加密(以及base64编码)的受害者数据,此中包罗如下受感染体系和GandCrab信息:

  • IP地点
  • 用户名
  • 主机名
  • 网络管区
  • 已安装的杀毒软件列表
  • 默认体系地区设置
  • 俄语键盘结构(0=Yes/1=No)
  • 操纵体系
  • 处置惩罚器布局
  • 赎金ID({卷序列号的crc } {卷序列号})
  • 网络和当地驱动
  • GandCrab 内部信息:
  • id
  • sub_id
  • version
  • action
Ul7973T3L755gUuZ.jpg 研究职员指出,为了确保可以或许顺遂对目的文件举行加密,GandCrab v4.1大概会杀死以下历程:

  • msftesql.exe
  • sqlagent.exe
  • sqlbrowser.exe
  • sqlwriter.exe
  • oracle.exe
  • ocssd.exe
  • dbsnmp.exe
  • synctime.exe
  • agntsvc.exeisqlplussvc.exe
  • xfssvccon.exe
  • sqlservr.exe
  • mydesktopservice.exe
  • ocautoupds.exe
  • agntsvc.exeagntsvc.exe
  • agntsvc.exeencsvc.exe
  • firefoxconfig.exe
  • tbirdconfig.exe
  • mydesktopqos.exe
  • ocomm.exe
  • mysqld.exe
  • mysqld-nt.exe
  • mysqld-opt.exe
  • dbeng50.exe
  • sqbcoreservice.exe
  • excel.exe
  • infopath.exe
  • msaccess.exe
  • mspub.exe
  • onenote.exe
  • outlook.exe
  • powerpnt.exe
  • steam.exe
  • thebat.exe
  • thebat64.exe
  • thunderbird.exe
  • visio.exe
  • winword.exe
  • wordpad.exe
杀死这些历程答应加密例程乐成的完成其目的,而不会出现任何不盼望的停止。别的,这些目的文件范例通常包罗对受害者有代价的数据,因此增长了受害者思量付款以获取其文件的大概性。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

销售微信,其他勿扰

( 公安备案号 14010802080054 工信部备案: 晋ICP备16001374号-1 )     

GMT+8, 2024-11-22 06:10 , Processed in 0.172575 second(s), 12 queries , File On.

Powered by X3.4

© 2015-2016

快速回复 返回顶部 返回列表