神舟战神1060的神舟游戏本哪款好好

舜网-济南时报
舜网-济南时报
中国新闻网
记者12日上午从大连医科大学附属第一医院获悉,经过近三十六个小时的救治,大连第十五中学附近交通事故中伤情最重学生,终因伤势过重,于5月12日7时33分抢救无效死亡。  【老朋友】点击右上角,分享或收藏本页精彩内容  【公众号】搜索公众号:皮鲁安全之家,或者ID :piluwill
  日期:
  0x1 前言
  360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”),常规的勒索病毒是一种趋利明显的恶意程序,它会使用加密算法加密受害者电脑内的重要文件,向受害者勒索赎金,除非受害者交出勒索赎金,否则加密文件无法被恢复,而新的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。360追日团队对“想哭勒索蠕虫”国内首家进行了完全的技术分析,帮助大家深入了解此次攻击!
  0x2 抽样分析样本信息
  MD5: DB349B97C37D22F5EA1DEB4
  文件大小: 3,723,264
  影响面:除Windows 10外,所有未打MS-17-010补丁的Windows系统都可能被攻击
  功能: 释放加密程序,使用RSA+AES加密算法对电脑文件进行加密勒索,通过MS17-010漏洞实现自身的快速感染和扩散。
  0x03 蠕虫的攻击流程
  该蠕虫病毒使用了ms17-010漏洞进行了传播,一旦某台电脑中招,相邻的存在漏洞的网络主机都会被其主动攻击,整个网络都可能被感染该蠕虫病毒,受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下
  0x04 蠕虫启动逻辑分析
  1.蠕虫启动时将连接固定url:
  a)如果连接成功,则退出程序
  b)连接失败则继续攻击
  2.接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程.
  a)安装流程
  i.创建服务,服务名称: mssecsvc2.0
  参数为当前程序路径 –m security
  ii.释放并启动exe程序
  移动当前 C:WINDOWStasksche.exe到 C:WINDOWSqeriuwjhrf
  释放自身的1831资源(MD5: 84CBBCF75A9),到C:WINDOWStasksche.exe,并以 /i参数启动
  b)服务流程
  i.服务函数中执行感染功能,执行完毕后等待24小时退出.
  ii.感染功能
  初始化网络和加密库,初始化payload dll内存.
  a)Payload包含2个版本,x86和x64
  b)功能为释放资源到c:windowsmssecsvc.exe并执行
  启动线程,在循环中向局域网的随机ip发送SMB漏洞利用代码
  0x05 蠕虫利用漏洞确认
  通过对其中的发送的SMB包进行分析,我们发现其使用漏洞攻击代码和/rapid7/metasploit-framework近乎一致,为Eternalblue工具使用的攻击包。
  蠕虫 SMB数据包:
  Eternalblue工具使用的MS17-010 SMB数据包:
  /RiskSense-Ops/MS17-010/tree/master/exploits/eternalblue/orig_shellcode
  文件内容在DB349B97C37D22F5EA1DEB4中出现
  orig_shellcode文件内容:
  DB349B97C37D22F5EA1DEB4 文件:
  0x06 蠕虫释放文件分析
  蠕虫成功启动后将开始释放文件,流程如下:
  释放文件与功能列表,如下:
  0x07 关键勒索加密过程分析
  蠕虫会释放一个加密模块到内存,直接在内存加载该DLL。DLL导出一个函数TaskStart用于启动整个加密的流程。程序动态获取了文件系统和加密相关的API函数,以此来躲避静态查杀。
  整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。加密流程如下图所示。
  使用的密钥概述:
  目前加密的文件后缀名列表:
  值得注意的是,在加密过程中,程序会随机选取一部分文件使用内置的RSA公钥来进行加密,这里的目的是解密程序提供的免费解密部分文件功能。
  能免费解密的文件路径在文件f.wnry中
  0x08 蠕虫赎金解密过程分析
  首先,解密程序通过释放的taskhsvc.exe向服务器查询付款信息,若用户已经支付过,则将eky文件发送给作者,作者解密后获得dky文件,这就是解密之后的Key
  解密流程与加密流程相反,解密程序将从服务器获取的dky文件中导入Key
  可以看到,当不存在dky文件名的时候,使用的是内置的Key,此时是用来解密免费解密的文件使用的。
  之后解密程序从文件头读取加密的数据,使用导入的Key调用函数CryptDecrypt解密,解密出的数据作为AES的Key再次解密得到原文件。
  该蠕虫在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制,危害不小于冲击波和震荡波蠕虫,并且该敲诈者在文件加密方面的编程较为规范,流程符合密码学标准,因此在作者不公开私钥的情况下,很难通过其他手段对勒索文件进行解密,同时微软已对停止安全更新的xp和2003操作系统紧急发布了漏洞补丁,请大家通过更新MS17-010漏洞补丁来及时防御蠕虫攻击。
作者:360追日团队
  更多精彩文章:
  获得以下图文等信息
  可进入微论坛畅谈
  官方机器人陪聊
  查看技术文档(逐步更新中)
  进入留言板
  国内外大牛真容
声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。“WanaCrypt0r 2.0”勒索电脑病毒全世界肆虐 Win7、WinXP及WinVista可能中毒
有回复时邮件通知我当前位置:
易语言究极模块v4.4特别版
更新时间:
软件大小:1.86MB
软件类型:国产软件
软件分类:
软件语言:简体
软件授权:免费软件
支持系统:
精品软件推荐
下载周排行
下载总排行
v4.0.30319
简体中文企业版v6.0
中文旗舰版
3126 版 64位
v3.5.0072破解版+注册机
中文旗舰版
中文版v4.4.2
简体中文企业版v6.0
3126 版 64位
绿色完整版
热门关键词
热门专题合集
易语言究极模块,用来破解易语言究极模块4.4的小工具
适用新版究级模块,只要究级模块注册验证方式没变,就一直可用~
没模块的点下载模块~,有模块的,直接点破解~
关闭程序以后,破解会失效.请知晓.
究级模块,是魔鬼作坊VIP模块.
集成了大漠,汇编命令,超级HOOK等各种智辅编程命令.~开发辅助非常好用~~
重要!!!!!!!!!!!!!!!!!!!!!!!!! 一定不要强制结束进程,可能会造成蓝屏!!!
MoGui.dll 一定要放在和执行文件一起.否则无法破解!~
已经是魔鬼VIP的就不要来用这个了,否则退出时会清除本身的注册!!!!
火眼的分析报告! 我这里用了驱动隐藏进程~ 所以会显示加载驱动~
Windows版下载
下载之家是国内最值得信赖的官方软件下载资源提供商,提供安全无毒的绿色软件下载、手机软件下载、游戏下载等。高速安全的软件下载尽在下载之家!
Copyright &
下载之家 (). All Rights Reserved.

我要回帖

更多关于 神舟游戏本哪款好 的文章

 

随机推荐