本文为看雪论坛优秀文章
看雪论坛作者ID:驱动骑士
看到一个安全新闻:
哇,awesome,感觉很神奇,于是想看看是怎么肥四。https://github.com/sophoslabs/IoCs/blob/master/Ransomware-Snatch创建服务:
服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SuperBackupMan
安全模式:
“bcdedit / set {current} safeboot minimal”
这个指令执行后,在重新启动系统时,它将开始进入安全模式,每次启动时,都会获得安全模式。最后执行关机进入安全模式之服务启动自身。
安全模式启动,使得杀软无法启动拦截查杀,通过注册的服务病毒带参数执行勒索程序。执行删除卷影开始加密文件。
加密公钥:
勒索信:
运行后自删除,事了拂衣去,留下勒索信。
看雪ID:驱动骑士
https://bbs.pediy.com/user-845934.htm
*本文由看雪论坛 驱动骑士 原创,转载请注明来自看雪社区好书推荐
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458303321&idx=2&sn=0e1aa2b281c81d946c878670a9e5dddf&chksm=b1818bd386f602c523fbd2fbbfc026b25b4b435370e290934fb7d566bf469c318dcf0c246570#rd
如有侵权请联系:admin#unsafe.sh