企业新闻当前位置:ag环亚国际 > 新闻中心 > 企业新闻 > 正文

该勒索软件是首个在加密磁盘文件之前先卸载安

http://www.zuche-zuche.com 发布时间:2018-05-14 14:55 ag环亚国际     浏览次数:

  2018年3月22日,一款能够卸载平安软件的打单者病毒“AVCrypt”被钻研职员发觉。该打单软件是首个正在加密磁盘文件之前先卸载平安软件的打单者病毒。分歧于曾经呈隐的封睁防火墙的恶意代码,该打单软件可主微软Windows操作体系的平安核心中查询曾经注册的平安软件并加以卸载。

  尽管该样本回传了加密密钥,但按照其不完备的打单消息,安天禀析职员以为其还是开辟顶用以测试的半造品,其后续版本可能会拥有更多的恶意功效,因而需提高警戒。

  经验证,安天智甲终端防御体系(英文简称IEP,以下简称安天智甲)可真隐对AVCrypt的无效防护。

  样本通过两种体例卸载平安软件,第一种是遏造并删除办事,第二种是卸载平安核心注册的平安软件。

  样本遍历体系历程,查找Tor.exe,若不存正在,则加载资本并安装Tor浏览器。

  样本利用AES-256算法加密磁盘文件,但没有利用RSA算法加密天生的AES密钥,如图所示:

  阐发职员以为该打单软件是测试版的来由就是忠告消息,仅仅有着“lol n”几个字符,并没有任何接洽体例,如图所示:

  3.尽量避免翻开社交媒体分享等来历不明的链接,给信赖网站增添书签并通过书签拜候;

  (注:因为业内病毒定名法则各不不异,本告警中呈隐的病毒名称是依靠于安天病毒定名法则。)

  AVCrypt会正在加密前遏造部门平安软件的办事。面临这种攻击手段,安天智甲拥有法式自庇护威力。安天智甲可对本身历程战文件进行防护,通过体系驱动层的监控与防护,可以大概阻遏遏造安天智甲办事或对安天智甲法式文件进行点窜的历程。

  别的,AVCrypt还会对体系注册表项进行恶意点窜。安天智甲支撑对注册表进行及时监控,当发觉有法式对注册表进行可疑操作时,会主动捕捉源文件,对源文件的特性消息、数字署名、向量等进行收罗或提与,操纵这些数据阐发文件平安性,对伤害性较高的文件进行告警并断绝。

  安天智甲针对打单软件,采用多种防护机造相融合的防护方案,通过成立打单软件文件特性库、打单软件举动特性库以及文档专属防护模块,使终端能够得到对已知战未知打单软件的无效防护威力。

  AVCrypt打单病毒利用了奇特的卸载平安软件的功效,回传体系消息及剪切板消息。主功效上来看,尽管目前为测试版本,但仍拥有相当高的完成度。因为其并没有利用RSA算法加密回传的密钥,该加密文件并不是彻底不克不迭解密,不外必要很是幼的时间来计较。

  安天将对其后续进展进行连续跟踪阐发,但对付其后续版本,作好防止事情才是重中之重。


ag环亚集团: PE200x350系列鄂式破碎机 高岭土磨粉设备 白云石磨粉机 超细粉设备 三环中速超细磨粉设备 硅灰石磨粉机设备 方解石磨粉设备 欧版锤式破碎机 铝矾土磨粉设备