洛阳新闻

欧博app下载(www.aLLbetgame.us):在我自己的电脑上引爆勒索软件(请不要在家里实验)

来源:洛阳新闻网 发布时间:2021-07-16 浏览次数:

USDT场外交易平台

www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺。

,


勒索软件攻击的头条新闻似乎天天都在发生,这给本就异常庞大的数据珍爱营业带来了新的危险和杂乱。此类威胁之一是Conti,它通常用于针对医疗保健组织和零售商。

它的行为方式可以告诉我们许多关于现代勒索软件攻击的信息——以是我最近在一个受控环境中引爆了Conti勒索软件,以证实适当的网络珍爱的主要性。

准备攻击

我在这次攻击中使用了三个虚拟机来模拟差其余场景。第一台机械是全新安装的Windows,没有任何珍爱,这台机械显示了勒索软件的功效。另外两台机械要么接纳勒索软件珍爱来解救攻击,要么接纳URL过滤来防止安装恶意payload。

SysInternals Suite中的Process Monitor和Process Explorer辅助我亲热关注整个攻击历程中的勒索软件流动。固然有正常历程,但也有由勒索软件启动的历程,以及注册表更改。

作为攻击前言,我凭证与税务相关的发票确立了一个虚伪的恶意电子邮件,以模拟常见的网络钓鱼诱饵。该电子邮件基于真实电子邮件,因此看起来是正当的。在快速更新电子邮件设置后,它甚至将公司名称显示为发件人。我使用了官方徽标和颜色,但用下载链接替换了发票详细信息,以确保可能希望收到此类电子邮件的人与我制作的电子邮件举行交互,而不仅仅是查看它。

该链接使用受信托的文件共享服务下载带有嵌入式Visual Basic剧本的“发票”,该剧本会自动下载并运行勒索软件。

通常,受害者必须在此剧本运行之前启用流动内容,因此攻击者通常会将内容设置为隐藏直到此时。在这种情形下,我设计勒索我自己,以是我将Word设置为自动运行内容。这是一个简朴的设置更改,不应作为公司网络上的一个可能的破绽而被忽视。

引爆

最初,我将准备好的电子邮件发送给“受害者”,后者单击电子邮件中的链接从受信托的文件共享服务下载文档。一旦文档打开,Visual Basic剧本就会运行,拉下勒索软件并自动运行它。

几秒钟后,可以在Process Explorer中看到勒索软件文件作为WINWORD.EXE的子历程。Windows注册表显示来自勒索软件的查询,从CurrentControlSet条目最先,然后继续重新启动设置,这解释Conti正在寻找一种在系统上获得持久性的方式。

欧博app下载

欢迎进入欧博app下载网站:(www.aLLbetgame.us),欧博app下载网站是欧博官方网站。欧博app下载网站开放欧博注册、欧博代理、欧博电脑客户端、欧博app下载等业务。

随着勒索软件加密文件,机械最先运行缓慢。若是用户没有注重到有什么问题,Conti将继续对添加到机械中的新文件举行加密。


虽然系统性能下降可能是问题的第一个迹象,但另有一些其他指标,包罗文件扩展名更改为文件名后附加“.ZSSCI”(只管差其余勒索软件将使用差其余扩展名),同时文件图标更改为空缺页图标,由于文件类型不再被识别。对于Conti和大多数其他现代勒索软件,readme.txt文件被放置在文件被加密的任何目录中。

readme.txt文件是通知受害者遭受攻击并提供支付指令的赎金票据。已往经常会有夸张的赎金票据取代桌面靠山,或是一打开网页便会泛起恐怖的新闻和大量不良gif图像,这样的日子已经一去不复返了。在这里,我们看到一个.onion地址用于联系攻击者,这需要使用Tor浏览器,并在透明网络上使用HTTPS替换方案。

攻击者还威胁说若是忽视这些被盗的数据的话,就会将其公然宣布,这是当惊大多数勒索软件团伙所接纳的双重勒索方式。


需要是发现之母

在这一点上,有几种方式可以恢复您的数据。您可以支付赎金以获取解密密钥,从清洁的备份中恢复(若是有的话),或者找到一台时光机穿越到已往。除了资助犯罪分子、在恢复时代关闭或穿越时空之外,另有一些现实的方式可以阻止成为受害者。

由于没有一种方式可以解决所有问题,因此多层解决方案将是珍爱您的数据免受此类攻击的最有用方式。

近年来,组织增强了网络钓鱼培训,这是异常好的最先。不幸的是,纵然是训练有素的人也可能被全心设计的攻击所愚弄。因此,必须实行工具来防止攻击。让我们来看看在珍爱措施到位后会发生什么。

有了勒索软件珍爱,在某种水平上而言,攻击最先时看起来与对未受珍爱系统的攻击异常相似。Conti仍在运行,接见注册表,并最先加密文件。但随后Conti突然关闭,Word文档平安打开。

这次的差异之处在于,file entropy被监控,软件在只加密了八个文件后住手了Conti启动的历程。勒索软件防护软件会自动从加密最先时天生的缓存副本中恢复加密,从而阻止了与从备份中恢复所带来的穷苦和名贵的停机时间。


固然,在安装有用payload之前住手攻击始终是首选。高级电子邮件平安解决方案可以防止恶意电子邮件到达您的最终用户,而适当的URL过滤器可以阻止接见下载有用payload的已知恶意URL。

无论珍爱组织数据有多庞大,模拟一次攻击都向我们解释,并非所有希望都已破灭。通过教育、设计和起劲,我们可以通过识别可能攻击的迹象并实行多层解决方案来自动检测和响应我们遇到的攻击,从而应对这些攻击。

本文翻译自:https://www.bleepingcomputer.com/news/security/detonating-ransomware-on-my-own-computer-don-t-try-this-at-home/
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片