IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

假勒索真愤青:永久摧毁文件的israbye病毒分析

发布时间:2017-08-12 01:57文章来源:互联网文章作者: 佚名点击次数:
近期,360安全中心发现国内流入一款名为israbye的“伪勒索病毒”。与普通勒索病毒完全不同的是,israbye会彻底摧毁文件,即使付钱也无法恢复。而且,病毒想要的也根本不是钱。 该病毒在受害电脑展示的信息称可保证免费恢复文件,但前提是——“等他们收复巴

近期,360安全中心发现国内流入一款名为israbye的“伪勒索病毒”。与普通勒索病毒完全不同的是,israbye会彻底摧毁文件,即使付钱也无法恢复。而且,病毒想要的也根本不是钱。

该病毒在受害电脑展示的信息称可保证免费恢复文件,但前提是——“等他们收复巴勒斯坦,收复艾克萨……”此病毒的传播目的似乎是为了传递某种主张。上述信息除了英文版本外,还罕见地对应了一段希伯来语,再结合“ENDOFISRAEL(以色列的终结)”的标题,并不是以钱财为目的的勒索病毒。

值得注意的是,被israbye病毒破坏的文件也不存在恢复的可能性。它会把文件内容将统一替换成“Fuck-israel, *** You Will never Recover your Files Until Israel disepeare”(其中星号为病毒从中毒机器中获取的用户名),而文件后缀则被更改为.israbye。这种方式下“加密”的文件,终究是等不到恢复的那一天的。

此病毒使用VS2012编写,从病毒程序中记录的pdb信息来看,病毒作者的用户名为Ahmed:

执行后,病毒首先会获取系统的启动目录和临时目录,并将自身复制到临时目录下命名为ClickMe.exe,之后向启动目录下释放cry.exe、cur.exe、lock.exe、index.exe四个程序:

释放完成后,先加密当前用户目录,之后再遍历磁盘电脑所有盘符,循环加密所有文件(循环从1开始,即跳过C盘不加密):

最后就是启动刚刚释放的四个程序并删除自身:

病毒释放的四个衍生程序也是各司其职,工作比较单一。

衍生物cry.exe负责调用修改壁纸:


假勒索真愤青:永久摧毁文件的israbye病毒分析
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/others/IT/1040805.html

标签分类:

上一篇:上一篇:你愿意为世界和平妥协自己的隐私吗?
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量