《关于勒索病毒的分析》由会员分享,可在线阅读,更多相关《关于勒索病毒的分析(5页珍藏版)》请在金锄头文库上搜索。
1 / 5勒索病毒分析1、现象:部分用户计算机上的文件被加密,导致无法使用。如下图2、分析:据感染者反映,是由于打开了部分邮件所致。根据用户信息,检索邮件的收件记录,查找可疑邮件。有如下邮件邮件均具有以下特征: 内容为英文描述 都带有附件,并且为压缩格式 发件人地址来源不详附件如下图2 / 5解压缩后的文件为 js 格式,或 wsf 格式。使用防病毒软件扫描压缩文件或解压缩后的文件,均没有病毒反应。至此,文件本身并无威胁发现。下面,在虚拟机运行解压缩后的文件。计算机进程中出现几个可疑进程,如下图。3 / 5Wscript.exe(windows 脚本执行工具)进程从互联网一台服务器下载了新的数据。并与邮件附件中的内容重新整合为一个可执行的病毒文件,随机命名。如下图同时,js 文件被删除,生成新的加密文件和通知。4 / 5通知内容至此,整个过程结束,计算机上的文件被加密。3、总结梳理整个过程,感染病毒的流程如下,第一步,用户收到带附件的邮件,由于这些附件只是部分代码,本身并无恶意,因此,这些文件顺利通过了防病毒的检测。5 / 5第二步,用户打开了附件中的文件。这些文件用预置的互联网服务器下载新的代码到用户计算机。第三步,新的代码和邮件附件合并成为完整的病毒程序,并运行,将计算机上的文件进行加密。
