GandCrab5.2勒索病毒复现

GandCrab第一代勒索病毒首次出现于20181月,后面经历了五个大版本的更新迭代,该系列病毒特征是采用RSA+AES加密算法,从算法上分析解密难度较大,会将系统中的大部分文件加密为随机后缀名的文件,然后对用户进行勒索。本实验分析GandCrab最新的版本v5.2(20192月首次出现),病毒样本信息如下

MD5

b48f9c12805784546168757322a1b77d

SHA-256

3ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1

文件大小

93kb

 样本来源:安全沙箱网站https://s.threatbook.com/,搜索MD5码即可

步骤1 样本如下,解压后将样本命名为CandCrab.exe

步骤2 新建一个测试目录,里面放了各种类型的文件,包括图片、文本、文档、压缩包,且放一些空的文件

步骤3 运行病毒程序,然后再次打开test目录,可以看到除了空文件,所有文件文件都被加了后缀naeluc,无法打开,且说明该病毒不会加密空文件,因为空文件没有价值。

步骤4 把后缀去掉后文件也无法打开

步骤5 使用虚拟机的快照功能恢复初始状态,再运行病毒程序,发现结果一样,非空文件都被加了后缀,且跟刚刚后缀不一样,说明后缀是随机生成的

步骤6  在目录下还新生成了一个NAELUC-MANUAL.txt,打开该文档发现是一封勒索信,大致意思是所有文件、文档、照片、数据库和其他重要文件都经过加密,扩展名为naeloc,恢复文件的唯一方法是购买唯一的私钥。只有这样才能恢复文件,然后提供了购买私钥的链接。

步骤7 发现电脑桌面也被修改,且写着受害主机的用户名lyt,如下图

病毒行为总结:首次执行时,会生成勒索ID,遍历计算机所有文件,对非空文件进行加密,生成随机字符串后缀,并在同级目录下生成勒索信(-MANUAL.txt),并更换桌面壁纸为特定壁纸,会显示受害主机的用户名。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/34424.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

8.12 矢量图层面要素单一符号使用六(SVG填充)

文章目录 前言SVG填充(SVG fill)QGis设置面符号为SVG填充(SVG fill)SVG填充(SVG fill) 总结 前言 本章介绍矢量图层线要素单一符号中使用SVG填充(SVG fill)的使用说明:文…

ARM相关理论知识

一、计算机的组成 1.输入设备:将数据与程序转换成计算机能够识别,存储,运算的形式,输送到计算机中。 2.输出设备:将计算机对程序和数据的运算结果输送到计算机外部设备 3.控制器:由程序技术器&#xff0…

SpringMVC系列十: 中文乱码处理与JSON处理

文章目录 中文乱码处理自定义中文乱码过滤器Spring提供的过滤器处理中文 处理json和HttpMessageConverter<T>处理JSON-ResponseBody处理JSON-RequestBody处理JSON-注意事项和细节HttpMessageConverter<T\>文件下载-ResponseEntity<T\>作业布置 上一讲, 我们学…

nginx配置代理ws协议

要在 Nginx 中配置 WebSocket 代理&#xff08;ws 协议&#xff09;&#xff0c;你需要确保 Nginx 的版本至少是1.3.13&#xff0c;因为较早的版本不支持 WebSocket。以下是一个基本的 Nginx 配置示例&#xff0c;用于代理 WebSocket 连接&#xff1a; http {upstream websock…

圆的面积并三角形面积并

三角形面积并 #include<iostream> #include<cstring> #include<algorithm> #include<cmath> #include<vector> using namespace std; const int maxn 110; #define x first #define y second typedef pair<double, double> PDD; const d…

9. proxy sql实现读写分离

proxy sql实现读写分离 一、proxysql介绍二、proxysql实现读写分离1、环境描述2、两台数据库配置读写分离&#xff0c;从库添加read_only参数3、安装proxysql3.1 proxysql内置库说明3.2 main库中主要的表说明 4、在后端主库创建允许proxysql连接的用户5、在proxysql上添加后端服…

假冒国企现形记:股权变更视角下的甄别分析

启信慧眼-启信宝企业版 假冒国企公告2024-06-07&#xff0c;中粮集团有限公司官网发布《关于冒名中粮企业名单公告》。公告显示&#xff0c;”有不法分子通过伪造相关材料等方式&#xff0c;以我集团子公司名义开展业务&#xff0c;进行虚假宣传。经核实&#xff0c;上述公司假…

伸展树(数据结构篇)

数据结构之伸展树 伸展树 概念&#xff1a; 伸展树是一颗对任意一个节点被访问后&#xff0c;就经过一系列的AVL树的旋转操作将该节点放到根上的特殊二叉查找树。伸展树能保证对树操作M次的时间复杂度为O(MlogN)&#xff0c;而当一个查找树的一个节点刚好处于查找树最坏的情…

物联网系统运维——实验备份与恢复,数据镜像软件DRBD介绍,DRBD的安装和应用,extundelete的安装和应用(重点),环境准备,配置设置

一.数据备份 1.数据备份的重要性 备份是系统中需要考虑的最重要的事项,虽然这在系统的整个规划,开发和测试过程中甚至占不到1%,看似不太重要且默默无闻的工作只有到恢复的时候才能真正体现出其重要性,任何数据的丢失与数据宕机&#xff0c;都是不可以被接收的。 2.数据备份策…

基于Pytorch框架构建LeNet-5模型

Pytorch 一、训练模型1.导入必要的库2.设置超参数3.数据预处理4.读取数据 二、定义卷积神经网络1.定义卷积神经网络2.定义学习率3.实例化模型并且移动到GPU4.选择优化器 三、定义调整学习率的函数1.定义调整学习率的函数 四、训练模型1.设置模型为训练模式2.遍历训练数据加载器…

文本三剑客之awk:

文本三剑客awk&#xff1a; grep 查 sed 增删改查 主要&#xff1a;增改 awk 按行取列 awk awk默认的分隔符&#xff1a;空格&#xff0c;tab键&#xff0c;多个空格自动压缩为一个。 awk的工作原理&#xff1a;根据指令信息&#xff0c;逐行的读取文本内容&#xff0c;然…

【Day02】0基础微信小程序入门-学习笔记

文章目录 模板与配置学习目标WXML 模板语法1.数据绑定&#xff08;类似于 Vue2 &#xff09;2. 事件绑定3. 条件渲染4.列表渲染 WXSS模板样式1. rpx尺寸单位2.样式导入3. 全局样式和局部样式 全局配置1. window2. tabBar 页面配置网络数据请求总结 持续更新~ 模板与配置 学习目…

C语言从头学25—— exit() 函数及 atexit() 函数

我们在 main 程序里通过 "return 0;" 这个语句来结束整个程序的运行&#xff0c;而在函数(也可以叫子程序)中使用 return 语句结束函数运行并带着返回值 (如有的话) 返回到调用者那里&#xff0c;然后继续运行后边的代码。如果在子程序那里就想结束整个程序的运行&am…

纯血国产的应用开发框架,Solon v2.8.4 发布

Solon 框架&#xff01; Java “纯血国产”应用开发框架。开放原子开源基金会&#xff0c;孵化项目。从零开始构建&#xff08;非 java-ee 架构&#xff09;&#xff0c;有灵活的接口规范与开放生态。 追求&#xff1a; 更快、更小、更简单提倡&#xff1a; 克制、简洁、高效…

easy-es Map类型字段序列化问题:Unexpected character (‘n‘ (code 110)):

Data IndexName("demo") public class EasyEsDemo {IndexIdprivate String id;private String name;private int age;// 这个Map字段因为NameFilter过滤器&#xff0c;导致fastjson序列化后为{null:"value"}这种形式&#xff0c;insert报错private Map<…

gateway整合sentinel限流

官方文档&#xff1a;https://github.com/alibaba/Sentinel/wiki/%E7%BD%91%E5%85%B3%E9%99%90%E6%B5%81 从 1.6.0 版本开始&#xff0c;Sentinel 提供了 Spring Cloud Gateway 的适配模块&#xff0c;可以提供两种资源维度的限流&#xff1a; route 维度&#xff1a;即在 Spr…

【第28章】Vue实战篇之用户重置密码

文章目录 前言一、调用接口二、重置密码三、界面展示总结 前言 这里我们来通过调用后端接口来完成密码重置功能并且修改成功清除缓存重新登录。 一、调用接口 export const userResetPasswordService (data)>{return request.patch(/user/updatePwd, data) }二、重置密码…

【数据结构与算法】详解循环队列:基于数组实现高效存储与访问

&#x1f493; 博客主页&#xff1a;倔强的石头的CSDN主页 &#x1f4dd;Gitee主页&#xff1a;倔强的石头的gitee主页 ⏩ 文章专栏&#xff1a;《数据结构与算法》 期待您的关注 ​ 目录 一、引言 &#x1f343;队列的概念 &#x1f343;循环队列的概念 &#x1f343;为什…

DIY灯光特效:霓虹灯动画制作教程

下面我们根据这张霓虹灯案例,教大家如何用智能动物霓虹灯闪烁的效果,大家可以根据思路,实现自己想要的动效效果,一起动手来做吧。 即时设计-可实时协作的专业 UI 设计工具 设置背景 新建画板尺寸为:800PX^600PX,设置背景色#120527。 绘制主题 输入自己喜欢文案,轮廓化,具体…

网络基础-协议

一、ARP 通过IP得到Mac 首先会查看缓存的arp表中是否有相应的IP和Mac对应关系&#xff0c;如果有直接进行包封装。如果没有则进行广播当对应的地址就收到广播包后会根据arp中的源地址进行单播返回相应的IP和Mac对应关系。 arp -a 查看现有的arp缓存 二、RARP反向地址解析 通过…