GandCrab 4.0 发布两天后,FortiGuard Labs 研究人员发现了更新版本(v4.1)。该版本仍然使用相同的技术进行传播,使受感染的网站看起来像破解的软件下载网站。
据研究人员称,GandCrab v4.1 包含一个非常长的硬编码列表,其中包含要连接的受感染网站。在一个二进制文件中,这些站点的数量几乎达到1,000 个。
此外,为了存储每个网站的完整URL,GandCrab v4.1 使用伪随机算法从多组预定义单词中进行选择。最终URL 将采用以下格式(例如:www.{host}.com/data/tmp/sokakeme.jpg)。
成功连接到URL 后,GandCrab v4.1 会将加密(和Base64 编码)的受害者数据发送到受感染的网站。该数据包括以下受感染系统和GandCrab 信息:
IP 地址用户名主机名网络管理已安装防病毒软件列表默认系统区域设置俄语键盘布局(0=是/1=否) 操作系统处理器结构勒索ID({卷序列号CRC} {卷序列号}) 网络和本地驱动程序GandCrab内部信息:idsub_idversionaction 研究人员指出,GandCrab v4.1可能会杀死以下进程,以确保目标文件顺利加密。
msftesql.exesqlagent.exesqlbrowser.exesqlwriter.exeoracle.exeocssd.exedbsnmp.exesynctime.exeagntsvc.exeisqlplussvc.exexfssvccon.exesqlservr.exemydesktopservice.exeocautoupds.exeagntsvc.exeagntsvc.exeagntsvc .exeencsvc.exefire Foxconfig.exetbirdconfig.exemydesktopqos.exeocomm。 exemysqld.exemysqld-nt 。 exemysqld-opt.exedbeng50.exesqbcoreservice.exeexcel.exeinfopath.exemsaccess.exemspub.exeonenote.exeoutlook.exepowerpnt.exesteam.exethebat.exethebat64.exethunderbird.exevisio.exewinword.exewordpad.exe 如果你杀死这些进程,加密例程将可以完成成功地。没有任何不必要的中断。此外,这些目标文件类型通常包含对受害者有价值的数据,使得受害者更有可能考虑付费获取这些文件。
本文由HackerVision通用网编译,图片来源于网络,如需转载请注明“转载自HackerVision”并附上链接。
标题:破解软件下载网站,网店大师破解软件下载
链接:https://www.7kxz.com/news/gl/20690.html
版权:文章转载自网络,如有侵权,请联系删除!