亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

在2021年底，出現(xiàn)了一種名為“Covid-22”的惡作劇病毒，其使用新冠病毒的命名方式，表明其可能會(huì)在2022年進(jìn)行傳播，主要對(duì)受害者進(jìn)行恐嚇及破壞MBR導(dǎo)致系統(tǒng)無(wú)法啟動(dòng)。

2022年初，深信服終端安全團(tuán)隊(duì)捕獲到一種自稱“Covid-666勒索病毒”的惡意程序，該程序運(yùn)行后會(huì)將文件加上“.covid-666”后綴，在將桌面背景改為冠狀病毒的圖片后，要求支付一定金額的比特幣作為贖金，如圖1所示。

圖1? Covid-666勒索病毒

通過(guò)分析發(fā)現(xiàn)，被加上”.covid-666”后綴的文件其實(shí)并未被加密，僅僅只是重命名，去掉”.covid-666”后綴后就能正常打開(kāi)，可以說(shuō)是“假勒索，真惡作劇”，演技逼真到堪稱病毒界的“影帝”。

病毒分析

病毒偽裝為Photoshop程序文件，推測(cè)其可能通過(guò)盜版軟件進(jìn)行傳播，如圖2所示。

圖2? 病毒偽裝為Photoshop程序文件

將腳本文件Covid666.bat寫(xiě)入到temp目錄，見(jiàn)圖3。

圖3? 將腳本文件Covid666.bat寫(xiě)到temp目錄

Covid666.bat腳本內(nèi)容如下（見(jiàn)圖4）：

1、通過(guò)修改注冊(cè)表禁用任務(wù)管理器、禁用快速用戶切換、禁止修改密碼、禁止鎖屏、禁止注銷；

2、運(yùn)行mbr.exe；

3、將note.bmp復(fù)制到C盤(pán)根目錄并將其設(shè)置為桌面背景，刷新桌面，并禁止修改桌面背景；

4、將桌面文件重命名，加上“.covid666”后綴；

5、運(yùn)行MainWindow.exe；

6、運(yùn)行命令使系統(tǒng)在240秒后重啟并提示“你只有4分鐘完成支付，否則你的所有文件都將永久丟失”。

圖4? Covid666.bat腳本內(nèi)容

將文件mbr.exe、mbr.cpp、note.bmp、MainWindow.exe釋放到temp目錄，見(jiàn)圖5。

圖5? 將相關(guān)文件釋放到temp目錄

mbr.exe為mbr擦除程序，其會(huì)將mbr內(nèi)容覆蓋為0，如圖6所示。

圖6? mbr.exe為mbr擦除程序

mbr.cpp為mbr.exe的源代碼，見(jiàn)圖7。

圖7? mbr.cpp為mbr.exe的源代碼

note.bmp為用于修改桌面背景的圖片，見(jiàn)圖8。

圖8? 用于修改桌面背景的圖片

MainWindow.exe為一個(gè)窗口程序，內(nèi)容為要求支付一定金額的比特幣作為贖金，但點(diǎn)擊支付按鈕卻顯示為“支付未完成或無(wú)法連接服務(wù)器”，如圖9所示。

圖9? 勒索頁(yè)面

運(yùn)行腳本Covid666.bat，如圖10所示。

圖10? Covid666.bat運(yùn)行腳本

病毒運(yùn)行結(jié)束并重啟后，由于mbr被覆蓋為0，將無(wú)法進(jìn)入系統(tǒng)，如圖11所示。

圖11? 用戶無(wú)法進(jìn)入系統(tǒng)

日常加固

1.日常生活工作中的重要的數(shù)據(jù)文件資料設(shè)置相應(yīng)的訪問(wèn)權(quán)限，關(guān)閉不必要的文件共享功能并且定期進(jìn)行非本地備份；

2.使用高強(qiáng)度的主機(jī)密碼，并避免多臺(tái)設(shè)備使用相同密碼，不要對(duì)外網(wǎng)直接映射3389等端口，防止暴力破解；

3.避免打開(kāi)來(lái)歷不明的郵件、鏈接和網(wǎng)址附件等，盡量不要在非官方渠道下載非正版的應(yīng)用軟件，發(fā)現(xiàn)文件類型與圖標(biāo)不相符時(shí)應(yīng)先使用安全軟件對(duì)文件進(jìn)行查殺；

4.定期檢測(cè)系統(tǒng)漏洞并且及時(shí)進(jìn)行補(bǔ)丁修復(fù)。