秒速飞艇走势图网站logo
150-2021-7966 在线客服 人才招聘 返回顶部

秒速飞艇走势图:AVCrypt勒索病毒使用了独特的卸

项目类型:APP应用
2018-10-14
2018年3月22日,一款可以卸载安全软件的勒索者病毒AVCrypt被研究人员发现。该勒索软件是首个在加密磁盘文件之前先卸载安全软件的勒索者病毒。不同于已经出现的关闭防火墙的恶意代
http://未知

  2018年3月22日,一款可以卸载安全软件的勒索者病毒“AVCrypt”被研究人员发现。该勒索软件是首个在加密磁盘文件之前先卸载安全软件的勒索者病毒。不同于已经出现的关闭防火墙的恶意代码,该勒索软件可从微软Windows操作系统的安全中心中查询已经注册的安全软件并加以卸载。

  虽然该样本回传了加密密钥,但根据其不完整的勒索信息,安天分析人员认为其仍是开发中用以测试的半成品,其后续版本可能会具有更多的恶意功能,因此需提高警惕。

  经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)可实现对AVCrypt的有效防护。

  样本通过两种方式卸载安全软件,第一种是停止并删除服务,第二种是卸载安全中心注册的安全软件。

  样本遍历系统进程,查找Tor.exe,若不存在,则加载资源并安装Tor浏览器。

  样本使用AES-256算法加密磁盘文件,但没有使用RSA算法加密生成的AES密钥,如图所示:

  分析人员认为该勒索软件是测试版的理由就是警告信息,仅仅有着“lol n”几个字符,并没有任何联系方式,如图所示:

  3.尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问;

  (注:由于业内病毒命名规则各不相同,本告警中呈现的病毒名称是依托于安天病毒命名规则。)

  AVCrypt会在加密前停止部分安全软件的服务。面对这种攻击手段,安天智甲具有程序自保护能力。安天智甲可对自身进程和文件进行防护,通过系统驱动层的监控与防护,能够阻止停止安天智甲服务或对安天智甲程序文件进行修改的进程。

  另外,AVCrypt还会对系统注册表项进行恶意修改。安天智甲支持对注册表进行实时监控,当发现有程序对注册表进行可疑操作时,会自动捕获源文件,对源文件的特征信息、数字签名、向量等进行采集或提取,利用这些数据分析文件安全性,对危险性较高的文件进行告警并隔离。

  安天智甲针对勒索软件,采用多种防护机制相融合的防护方案,通过建立勒索软件文件特征库、勒索软件行为特征库以及文档专属防护模块,使终端可以获得对已知和未知勒索软件的有效防护能力。

  AVCrypt勒索病毒使用了独特的卸载安全软件的功能,回传系统信息及剪切板信息。从功能上来看,虽然目前为测试版本,但仍具有相当高的完成度。由于其并没有使用RSA算法加密回传的密钥,该加密文件并不是完全不能解密,不过需要非常长的时间来计算。

  安天将对其后续进展进行持续跟踪分析,但对于其后续版本,做好预防工作才是重中之重。

Copyright © 2002-2018 秒速飞艇走势图官网 版权所有 鲁CIP964511-1号  网站地图