分析了一个复用7Zip套件来加密软件的勒索病毒
| 勒索后缀 | .7zip | |
|---|---|---|
| 勒索提示文件名 | !!!READ_ME___YOUR_FILES_ENCRYPTED.txt | |
| 勒索提示内容 | !!! ALL YOUR FILES HAVE BEEN ENCRYPTED !!! All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment. To purchase your key and decrypt your files, please follow these steps: 1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page". 2. Visit the following pages with the Tor Browser: 7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion 3. Enter your Client Key: m0PUuk3XNGIhPDCS9kSi9dH7Keogt5xNO/hty5GE/ZuYvZvocF63a51uAKZEfWO6trilwpzlxaD3k5vagm4P1b2heEhoBSQpugPX+XFFBw5ZWqOG/pyR5DaqXf1D03y1eaIgmHIzotpTYjHEuuy4+4lYMOqzy+Acl+sF36iufRdk6i9FVEpb62Ms5TrNa3j9Sd7IM9Oa3ra4BaPClsEMhR0ABNsWOzAtOiku5d2bJpjQIzPqe5cPlK0rneFsC9x+So+ZmRolJlmARW2GRqKNE3xwunI5kpibTXBd5r7GVptJ3alxSxsiLqfLg5H18D/oUL7Hzl3z8XCCay1IjxBoWg== |
|
| 地址 | 7qsadu7zrwn5gjkbpgocsh5z7y7e3jgnkicfuy4jsuggg2gqxnirzjad.onion | |
| 勒索赎金 | 1比特币 | |
| md5 | f2915d38bc67e893f907970c5b1f3995 | |
| 文件名 | sys.jar |
样本如下:
https://s.threatbook.cn/report/file/e18697bc5963e5d75e99d9e8a77a4621338fcada89e0f003f9e7e09010239813
截至到2022年6月11日微步依旧将此文件判别为白
我已经向微步提交相关报告,近期有可能会更改判别结果
多个安全厂商都未标识此文件为恶意,火绒安全也未识别出病毒,此勒索软件较为危险,预计此后会持续爆发。
1、此勒索软件为Java语言编写
2、尝试加密如下后缀文件
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .sh .mp3 .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .ai .psd .nef .tiff .tif .cgm .raw .png .bmp .jpg .jpeg .vcd .backup .zip .rar .gz .tgz .tar .bak .tbk .bz2 .paq .arc .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .rdb .aspx .asax .ashx .properties .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc
mysql,redis进程
7z.dll和7z.exe文件执行加密
RSA公钥加密7zip的密钥
攻击者公钥为硬编码进文件
String publicKeyStr = "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnDnFzpMR6+73LlheAV6akgJQem0d+VzVTZL91Yph6YlZ8U08uLwpAdDSXgZ4VfD6h/8XCFbjKzcM+1DXYpneCE0lY8A7KxbSJ7+BVaQMxmB7B3C6/9S4kTaspn4O5qi7gqHklKx8Jh3H9FcNkmfMNTBqC1y562SzImV+HJ0xjPaoJ9RtOWFvD4YsN5EudHGxQUG+Edh5ezSfZIcbg5j21ERpq0K9aMDk0qKktCrOrWF6BSarWHF7ESTsGJAtt3nJwzt2EZgCsdh8rgKjeFxh4ztwRgnCWakRwWqUWgqkdwFX7LSGVWetYgSIJSmIbt2ef5k0+r+3jWRWtJd2C/5fVQIDAQAB";
需要受害者提交赎金之后,勒索软件提供用RSA私钥解密的7zip密钥给受害者,用于文件解密,在不知道攻击者RSA私钥情况下无法解密。
7、第六点中所提到的7zip密钥生成规则如下
32位随机值(规则如下)+ ”|“ + uid + ”|“ + 开始时间/1000
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
Ⅰ软件测试基础一、软件测试基础理论1、软件测试的必要性所有的产品或者服务上线都需要测试2、测试的发展过程3、什么是软件测试找bug,发现缺陷4、测试的定义使用人工或自动的手段来运行或者测试某个系统的过程。目的在于检测它是否满足规定的需求。弄清预期结果和实际结果的差别。5、测试的目的以最小的人力、物力和时间找出软件中潜在的错误和缺陷6、测试的原则28原则:20%的主要功能要重点测(eg:支付宝的支付功能,其他功能都是次要的)80%的错误存在于20%的代码中7、测试标准8、测试的基本要求功能测试性能测试安全性测试兼容性测试易用性测试外观界面测试可靠性测试二、质量模型衡量一个优秀软件的维度①功能性功
我有一个类unzipper.rb,它使用Rubyzip解压文件。在我的本地环境中,我可以成功解压缩文件,而无需使用require'zip'明确包含依赖项但是在Heroku上,我得到一个NameError(uninitializedconstantUnzipper::Zip)我只能通过使用明确的require来解决问题:为什么这在Heroku环境中是必需的,但在本地主机上却不是?我的印象是Rails自动需要所有gem。app/services/unzipper.rbrequire'zip'#OnlyrequiredforHeroku.Workslocallywithout!class
我有一个包含100多个zip文件的目录,我需要读取zip文件中的文件以进行一些数据处理,而无需解压缩存档。是否有一个Ruby库可以在不解压缩文件的情况下读取zip存档中的文件内容?使用rubyzip报错:require'zip'Zip::File.open('my_zip.zip')do|zip_file|#Handleentriesonebyonezip_file.eachdo|entry|#Extracttofile/directory/symlinkputs"Extracting#{entry.name}"entry.extract('here')#Readintomemoryc
网站的日志分析,是seo优化不可忽视的一门功课,但网站越大,每天产生的日志就越大,大站一天都可以产生几个G的网站日志,如果光靠肉眼去分析,那可能看到猴年马月都看不完,因此借助网站日志分析工具去分析网站日志,那将会使网站日志分析工作变得更简单。下面推荐两款网站日志分析软件。第一款:逆火网站日志分析器逆火网站日志分析器是一款功能全面的网站服务器日志分析软件。通过分析网站的日志文件,不仅能够精准的知道网站的访问量、网站的访问来源,网站的广告点击,访客的地区统计,搜索引擎关键字查询等,还能够一次性分析多个网站的日志文件,让你轻松管理网站。逆火网站日志分析器下载地址:https://pan.baidu.
关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于StackOverflow来说是偏离主题的,因为它们往往会吸引自以为是的答案和垃圾邮件。相反,describetheproblem以及迄今为止为解决该问题所做的工作。关闭9年前。Improvethisquestion我想知道是否有人知道Ruby的rubyzip替代品,它可以处理各种格式,特别是zip/rar/7z?我知道libarchive,但它对我的目的来说并不完整(它是一个很好的gem)。(澄清一下,libarchive-对我不起作用-因为
我知道如何使用rubyzip检索普通zip文件的内容。但是我在解压缩压缩文件夹的内容时遇到了问题,我希望你们中的任何人都能帮助我。这是我用来解压的代码:Zip::ZipFile::open(@file_location)do|zip|zip.eachdo|entry|nextifentry.name=~/__MACOSX/orentry.name=~/\.DS_Store/or!entry.file?logger.debug"#{entry.name}"@data=File.new("#{Rails.root.to_s}/tmp/#{entry.name}")endendentry
谈到现状,国内的软件测试行情目前呈现了两极分化的极端情况。一个是早期的手工测试人员吐槽工作不好做,即使有工作也是外包,而且薪资太低;一方面是很多互联网企业感叹自动化测试人才难找,有技术的自动化测试工程师,高薪难聘。这两者其实并不矛盾。手工测试工作难找也确实是目前真实的行情早期从事功能测试的手工测试人员,在测试方面大多采用手动、人工执行的方式查找软件缺陷和BUG,用行业术语来描述就是“点点点”。这种测试方式耗费大量人力和资源,工作效率却十分低下。在早期软件复杂和迭代程度不高的情况下,有资本的企业会“供养”一批这样的手工测试人员。但对测试员本身来讲,毫无技术难度的工作,和几乎没有保障的薪资水平,直
我有一个Ruby应用程序,我需要修改现有的zip文件。我想在内存中构建zip文件并流回字节,而无需将文件写入文件系统。如果我最终在Heroku上托管它,我认为我无法写入文件系统。有谁知道这样做的方法吗?我看了Zip::ZipFile但看起来它总是想写入文件系统。我想“基于java实现”我将能够只获取压缩文件的字节,这可以在java中完成,但我看不到这样做的方法。编辑:我要问的与此基本相同,但针对Ruby而不是Python:Functiontocreatein-memoryzipfileandreturnashttpresponse 最佳答案
这个问题在这里已经有了答案:HowtounzipanArray?(1个回答)关闭8年前。在Python中,我可以通过返回zip来获得zip的“逆”a=[1,2,3]b=[4,5,6]c=zip(a,b)#[(1,4),(2,5),(3,6)]如果我改为从c开始,我可以使用以下方法返回a和bc=[(1,4),(2,5),(3,6)]a,b=zip(*c)但是,在Ruby中,似乎只有一个zip方法,因此我不确定我能否以完全相同的方式做到这一点......Ruby中是否有某种类似的好习惯用法可用于“解压缩”列表的列表?我知道你可以做c[0].zip(*c[1..-1])本质上在语义上是一样的