一、 概述
據火絨安全團隊分析,該勒索病毒開始勒索前,會在本地生成加密、解密相關資料,火絨工程師根據這些資料成功提取到了金鑰。
二、 樣本分析
勒索提示視窗
被病毒利用的白檔案數字簽名資訊
該病毒執行後,只會加密勒索當前使用者桌面目錄下所存放的資料檔案,並且會對指定目錄和副檔名檔案進行排除,不進行加密勒索。被排除的目錄名,如下圖所示:
被排除的目錄名
被排除的副檔名
排除目錄名
排除副檔名
病毒中的虛假說明資訊
資料加密
在之前的使用者反饋中,很多使用者對勒索提示視窗中顯示的感染病毒時間頗感困惑,因為該時間可能遠早於實際中毒時間(如前文圖中紅框所示,2018-08-08 06:43:36)。實際上,這個時間是病毒作者用來謊騙使用者,從而為造成來的虛假時間,是通過windows安裝時間戳 + 1440000再轉換成日期格式得來,windows安裝時間戳通過查詢登錄檔方式獲取,登錄檔路徑為:hkey_local_machine\software\microsoft\windows nt\currentversion\installdate。病毒作者使用這個虛假的中毒時間誤導使用者,讓使用者誤以為病毒已經潛伏了較長時間。相關**,如下圖所示:
虛假感染時間顯示相關**
php 前一天或後一天的日期
date default timezone set prc 預設時區 echo 今天 date y m d time echo 今天 date y m d strtotime 18 june 2008 echo 昨天 date y m d strtotime 1 day echo 明天 date y...
php 前一天或後一天的日期
php 判斷今天的前一天,或前後多少天的 date default timezone set prc 預設時區 echo 今天 date y m d time echo 今天 date y m d strtotime 18 june 2008 echo 昨天 date y m d strtotime...
php 前一天或後一天的日期
複製 如下 php date default timezone set prc 預設時區 echo 今天 date y m d time 程式設計客棧 echo 今天 date y m程式設計客棧 d strtotime 18 june 2008 echo 昨天 date y m d s程式設計客棧...