超级会员免费看
勒索软件活动分析与检测方案
1. zCrypt 分析
为了找到识别加密蠕虫行为的方法,对 zCrypt 进行了分析。使用 32 位 Windows 7 恶意软件实验室虚拟机进行分析,分析样本的典型感染途径是作为受感染的电子邮件附件进行传播。
- 隐藏与传播特性 :zCrypt 努力隐藏自身并尽可能传播。它会对释放的文件应用隐藏属性,调用
GetDriveTypeA函数枚举所有驱动器,特别目标是寻找可移动驱动器,该函数是其传播的关键。 - 持久化手段 :zCrypt 通过进行注册表更改并将自身添加到启动程序中,使用典型方法实现持久化。它使用公钥基础设施(PKI),这表明解密极其困难。与一些将密钥硬编码到程序中的勒索软件变体不同,它为每个受害者创建唯一密钥。在加密文件前会进行测试,若失败则终止程序。
1.1 感染途径
勒索软件通常可能通过多种不同方法感染受害者,如漏洞利用、社会工程学、受感染的电子邮件附件和受感染的外部媒体。而 zCrypt 较为特殊,它可以通过垃圾邮件、宏恶意软件、虚假 Flash Player 安装程序从互联网下载,也可通过可移动驱动器传播。在加密文件时,它会显示弹出窗口试图迷惑用户,这种基于宏的恶意软件会分散用户注意力。
1.2 安装过程
zCrypt 通常会将自身副本以隐藏属性释放到以下位置:
- C:\Users\Lab\AppData\Roaming\zcrypt.exe
- C:\Users
订阅专栏 解锁全文
扫一扫
588
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
