为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

永久摧毁文件的israbye病毒分析

2017-8-14 12:10| 投稿: lofor |来自: 互联网

摘要: 近期,360安全中心发现国内流入一款名为israbye的“伪勒索病毒”。与普通勒索病毒完全不同的是,israbye会彻底摧毁文件,即使付钱也无法恢复。而且,病毒想要的也根本不是钱。该病毒在受害电脑展示的信息称可保证免 ...

近期,360安全中心发现国内流入一款名为israbye的“伪勒索病毒”。与普通勒索病毒完全不同的是,israbye会彻底摧毁文件,即使付钱也无法恢复。而且,病毒想要的也根本不是钱。

该病毒在受害电脑展示的信息称可保证免费恢复文件,但前提是——“等他们收复巴勒斯坦,收复艾克萨……”此病毒的传播目的似乎是为了传递某种主张。上述信息除了英文版本外,还罕见地对应了一段希伯来语,再结合“END OF ISRAEL(以色列的终结)”的标题,并不是以钱财为目的的勒索病毒。

值得注意的是,被israbye病毒破坏的文件也不存在恢复的可能性。它会把文件内容将统一替换成“Fuck-israel, *** You Will neverRecover your Files Until Israel disepeare”(其中星号为病毒从中毒机器中获取的用户名),而文件后缀则被更改为.israbye。这种方式下“加密”的文件,终究是等不到恢复的那一天的。

图1

此病毒使用VS2012编写,从病毒程序中记录的pdb信息来看,病毒作者的用户名为Ahmed:

图2

 执行后,病毒首先会获取系统的启动目录和临时目录,并将自身复制到临时目录下命名为ClickMe.exe,之后向启动目录下释放cry.exe、cur.exe、lock.exe、index.exe四个程序:

图3

释放完成后,先加密当前用户目录,之后再遍历磁盘电脑所有盘符,循环加密所有文件(循环从1开始,即跳过C盘不加密):

图4

最后就是启动刚刚释放的四个程序并删除自身:

图5

病毒释放的四个衍生程序也是各司其职,工作比较单一。

衍生物cry.exe负责调用修改壁纸:

图6

图7

衍生物cur.exe负责在鼠标指针后添加一个“END OF ISRAEL”的小尾巴

图8图9

衍生物index.exe负责弹出信息说明窗口,并释放并播放一段bgm

图10

图 11

衍生物lock.exe则负责“解决掉”一些分析人员的常用工具,同时启动上面的index.exe和病毒主程序“ClickMe.exe”

图12

图13

最后,我们回到病毒母体的加密函数部分,这也就是我们称其为“伪勒索病毒”的关键点——病毒实际上根本就没有“加密”你的文件,仅仅是将文件内容替换为“Fuck-israel, *** You Will never Recover your Files Until Israeldisepeare”而已。

图14

由此可见,虽然病毒声称要等到以色列毁灭(Israel disepeare)的那一天才能恢复你的文件,但很显然以这样的方式来“加密”文件,是无论等到哪一天都无法恢复的。

据360安全卫士监控的数据,israbye病毒在国内传播量很小,但如果不慎中招就会遭遇数据永久损坏的严重后果。360安全卫士已第一时间拦截查杀此病毒,建议用户保持安全软件开启,就能够避免中招。      


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

最新

返回顶部