國外安全公司SOPHOS研究人員日前監測到惡性勒索軟件 , 該勒索軟件採用極其複雜的手段規避反病毒軟件攔截。
研究人員將這款勒索軟件稱之為搶奪性惡意軟件,因為該軟件自動進入安全模式將其他軟件全部卸載再加密文件。
我們知道安全模式下理論上所有非微軟的第三方軟件都無法自啟動,即便是殺毒軟件也同樣受到這個定律的限制。
而這款勒索軟件將自己偽裝成系統服務再利用安全模式的限制,將已安裝的殺毒軟件卸載然後就可以佔領計算機。
面向企業的勒索軟件:
這款勒索軟件並不會廣泛撒網儘可能感染更多計算機來進行勒索,而是收集計算機數據然後再精心挑選潛在目標。
背後的開發團隊主要利用微軟遠程桌面 , VNC、Teamviewer、Webshell和SQL注入來嘗試感染某些種子計算機。
如果企業使用這些軟件或工具但沒有做好足夠的安全防禦,則有可能會被黑客掃描到然後利用漏洞入侵企業內網。
成功入侵企業內網後該勒索軟件會預先收集企業相關信息和敏感資料,通常監視數週後黑客才會決定下一步動作。
偽裝成系統服務進行啟動:
為解決反病毒軟件問題該勒索軟件會將自己偽裝成系統服務,SNATCH 偽裝成的軟件名稱為SuperBackupMan。
這個名稱是系統備份用的工具因此可能會讓用戶放鬆警惕,不過該軟件只要被安裝就無法卸載、暫停或停止運行。
同時該軟件會強制啟動計算機自動進入安全模式,在安全模式裡將其他系統工具例如反病毒或清理軟件直接卸載。
此外為防止用戶通過備份恢復數據該勒索軟件還會尋找並刪除所有能夠找到的 Windows 卷影備份或系統還原點。
至於該勒索軟件是如何在安全模式下實現自啟動的目前尚不清楚,不過這種卸載殺毒軟件的策略效果確實比較好。
在成功卸載殺毒軟件後勒索軟件會再次啟動計算機退出安全模式,然後在啟動後便開始將用戶所有文件進行加密。
當然該勒索軟件也採用高強度算法進行文件加密因此想要暴力破解幾乎不可能的,建議企業最好日常備份好文件。
關注藍點網頭條號不迷路,Windows 10、科技資訊、軟件工具、技術教程,盡在藍點網。藍點網,給你感興趣的內容!感謝打賞支持!
閱讀更多 藍點網 的文章
