欢迎来到天天文库
浏览记录
ID:31872343
大小:278.99 KB
页数:5页
时间:2019-01-23
《关于勒索病毒的分析.docx》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、"勒索病毒"分析1、现象:部分用户计算机上的文件被加密,导致无法使用。如下图2、分析:据感染者反映,是由于打开了部分邮件所致。根据用户信息,检索邮件的收件记录,查找可疑邮件。有如下邮件邮件均具有以下特征:l内容为英文描述l都带有附件,并且为压缩格式l发件人地址来源不详附件如下图解压缩后的文件为js格式,或wsf格式。使用防病毒软件扫描压缩文件或解压缩后的文件,均没有病毒反应。至此,文件本身并无威胁发现。下面,在虚拟机运行解压缩后的文件。计算机进程中出现几个可疑进程,如下图。Wscript.exe(windows脚本执行工具)进程从互
2、联网一台服务器下载了新的数据。并与邮件附件中的内容重新整合为一个可执行的病毒文件,随机命名。如下图同时,js文件被删除,生成新的加密文件和通知。通知内容至此,整个过程结束,计算机上的文件被加密。3、总结梳理整个过程,感染病毒的流程如下,第一步,用户收到带附件的邮件,由于这些附件只是部分代码,本身并无恶意,因此,这些文件顺利通过了防病毒的检测。第二步,用户打开了附件中的文件。这些文件用预置的互联网服务器下载新的代码到用户计算机。第三步,新的代码和邮件附件合并成为完整的病毒程序,并运行,将计算机上的文件进行加密。
此文档下载收益归作者所有
