详细内容或原文请订阅后点击阅览
4096 种勒索:剖析网络威胁世界中的新型勒索软件
病毒如何在系统毫无防御能力的情况下设法清除所有内容。
来源:安全实验室新闻频道由于病毒在系统没有防御性时会擦除所有内容。
专家 div>
发现Akira-母程序的主要组成部分的两种类型的文件:尺寸较小(573 KIB)和较大(1.005 KIB)。这两个文件均使用MSVC编译,并且不包含模糊的方法。在受害者的设备上开始后,有价值的文件会随着.akira的扩展而进行更改。在发生加密的每个文件夹中,akira_readme.txt文件是根据赎金的要求而创建的。此文件的文本与程序的所有版本相同,除了与攻击者的唯一条目代码外。
该程序使用功能强大的4.096位加密密钥,该密钥以base64的格式以较小的文件表示,并以二进制片段的形式以很大的形式显示。在加密文件之前,Akira试图在设备上删除阴影复制图片,并通过WMI启动PowerShell进程。删除影子副本的团队是静态的,这简化了其检测。
该程序还使用API RESTART MANAGAR,该管理器允许您关闭当前忙于其他应用程序的文件。此API使禁用阻止对文件访问的过程成为可能,这有助于勒索者继续工作。重要的是要注意,Akira无法完成API会话,这使您可以在注册表中保存记录,从而提供有价值的数据进行后续分析。
一个有趣的细节是随着.arika的扩展,创建和删除了临时文件,这可能是程序的开发人员犯的错误。这些文件可以是与加密有关的中间数据,尽管它们的确切目的需要进一步研究。
安全软件在检测Akira时不会遇到困难,因为该程序在系统中留下了很多痕迹,包括静态线条和使用已知API,例如Restart Manager。