您好、欢迎来到现金彩票网!
当前位置:热购彩票app下载 > 公钥加密 >

使用有效数字签名伪装的Clop勒索病毒

发布时间:2019-05-29 05:54 来源:未知 编辑:admin

  Clop勒索病毒使用RC4算法加密受害者文件,通过病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾,被加密文件后缀被修改为.Clop 。病毒个别变种使用了国外公司有效的数字签名进行伪装,危害不容小觑。

  近日捕获到Clop勒索病毒,此病毒运行之后使用RC4算法加密受害者文件,使用病毒内置的RSA公钥加密RC4的密钥存储到被加密文件末尾。被加密文件后缀被修改为.Clop。此外病毒个别变种使用了国外公司有效的数字签名,可以看到此病毒作者正在积极的伪装病毒,危害不容小觑。

  1、病毒运行后首先执行一些无意义的操作,拖延时间反沙箱,之后才开始执行恶意功能。

  RC4算法的密钥并不是使用随机数生成,而是通过调用windows密钥生成函数导出一个RSA公钥

  并取导出密钥的前0x75字节,作为RC4的密钥,用此密钥加密文件。如果通过windows api获取密钥失败,则使用病毒内置的密钥加密文件

  将被加密的内容写入到一个新文件中,新文件命名为 原始文件名+ .Clop,然后删除原文件

http://e-ndicus.com/gongyuejiami/332.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有