日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近期，安全研究專家發(fā)現(xiàn)了一款非常有意思的惡意軟件，它會根據(jù)目標(biāo)用戶的電腦配置來決定到底用哪個方案來從用戶身上牟利。

勒索軟件可以鎖定你的電腦，并通過對數(shù)據(jù)進行加密來阻止你訪問自己電腦中的文件，直到你向攻擊者支付贖金才行，而非法挖礦軟件利用的是目標(biāo)用戶設(shè)備的CPU算力以及電能來挖加密貨幣。這兩種攻擊在這兩年里已經(jīng)成為了廣大用戶面臨的主要威脅，作為非針對性攻擊而言，這兩種攻擊具有一定的相似性，因為它們不僅都需要從目標(biāo)用戶身上牟取利益，而且兩者都涉及到加密貨幣。

但是，鎖定目標(biāo)用戶的電腦并不一定能夠給攻擊者帶來利益，因為很多用戶的電腦中并沒有存儲多少有價值的東西，因此很多攻擊者便開始通過利用目標(biāo)設(shè)備的CPU和電能來賺錢，也就是所謂的惡意挖礦。

卡巴斯基實驗室的研究人員將這款惡意軟件命名為Rakhni勒索軟件，而且Rakhni近期更新得也比較頻繁，并提升了其挖礦能力。

Rakhni采用Delphi編寫，并通過微軟Word文檔附件(釣魚郵件)的形式進行傳播，當(dāng)目標(biāo)用戶打開附件文檔之后，文件會提醒用戶保存文檔并啟用編輯功能。該文檔包含一個PDF圖標(biāo)，點擊之后便會在目標(biāo)用戶設(shè)備上運行惡意可執(zhí)行文件，并立刻顯示偽造的錯誤提示框，然后欺騙用戶讓他們以為系統(tǒng)缺失了相關(guān)的組件。

Rakhni如何判斷進行哪種感染操作?

在后臺，Rakhni會進行很多反虛擬機和反沙箱檢測操作，如果所有條件都滿足，它便會進行下一步檢測來判斷使用哪一個感染Payload，即感染勒索軟件還是挖礦軟件。

1. 安裝勒索軟件：

目標(biāo)系統(tǒng)的AppData目錄中是否擁有跟“比特幣”相關(guān)的內(nèi)容?

在使用RSA-1024加密算法對文件進行加密之前，惡意軟件會終止預(yù)定義列表中所有指定的熱門應(yīng)用進程，并通過文本文件顯示勒索信息。

2. 安裝加密貨幣挖礦軟件：

若目標(biāo)系統(tǒng)中沒有跟“比特幣”相關(guān)的內(nèi)容，而設(shè)備又擁有兩個或以上的邏輯處理器。

如果系統(tǒng)感染了挖礦軟件，它便會使用MinerGate工具在后臺挖XMR、XMO換個DSH等加密貨幣。

除此之外，它還會使用CertMgr.exe工具來安裝偽造的證書，并聲稱該證書由微軟和Adobe公司發(fā)布，然后嘗試將挖礦軟件偽裝成合法進程。

3. 激活蠕蟲組件：

若目標(biāo)系統(tǒng)中沒有跟“比特幣”相關(guān)的內(nèi)容，而設(shè)備又只擁有一個邏輯處理器。

這個組件將幫助惡意軟件在本地網(wǎng)絡(luò)設(shè)備中實現(xiàn)自我復(fù)制。

除了感染判斷之外，Rakhni還會檢測目標(biāo)設(shè)備是否運行了反病毒軟件，如果沒有運行，Rakhni將會運行多個cmd命令來嘗試禁用Windows Defender。

竟然還有間諜軟件功能?

研究人員表示，Rakhni另一個非常有意思的地方就在于它還具備了某些間諜軟件功能，其中包括列舉正在運行的進程列表以及實現(xiàn)屏幕截圖。

這款惡意軟件主要針對的是俄羅斯地區(qū)的用戶(95.5%)，其中還有一小部分用戶位于哈薩克斯坦(1.36%)、烏克蘭(0.57%)、德國(0.49%)和印度(0.41%)等地。

緩解方案

保護用戶安全最好的方法就是不要打開郵件中嵌帶的可疑文件和鏈接，并定期更新你的反病毒軟件。除此之外，別忘了定期備份有價值的數(shù)據(jù)。

網(wǎng)頁名稱：Rakhni：你的電腦適合挖礦還是感染惡意軟件？由它來決定
文章URL：http://www.5511xx.com/article/ccejdco.html