"C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"
DF7ADA61E0284DDD4F1E
Aphrodite666
和字符串HOW TO BACK YOUR FILES.txt
,以及获取的计算机名称,和字符串 local
进行拼接。大概是生成密钥
将上段生成的密钥,追加到勒索文本后,从这得知生成的是用户个人ID
提升权限
获取所有用户配置文件(GetEnvironmentVariableW(allusersprofile)
)返回值为C:\ProgramData,创建C:\ProgramData\local
目录
在目录C:\ProgramData\local\
下 创建文件 .DF7ADA61E0284DDD4F1E
,写入已下数据(内容暂时不知道什么作用),并设置隐藏。
DisableHomeGroup
的值为1 .作用是禁用家庭组RunOnce
(只会运行一次),创建名为 "WindowsUpdateCheck"
的启动项,混淆成Windows更新。路径为样本所在路径。".DF7ADA61E0284DDD4F1E"
dll
、lnk
、ini
、.sys
的话Aphrodite666
后缀,然后更改名称。ids.txt
文件,查看其内容应该是保存了一些调试信息和本机生成用户ID。"WindowsUpdateCheck"
0
收藏
0
赞
打赏
分享
|
|
---|---|
返回