前沿拓展:
msftesql.exe
stormliv.exe:暴风影音媒体控制中心.停止stormliv.exe进程的具体**作:控制面板–> 管理工具–> 服务,找到“Contrl Center o”。
msftesql.exe:MicrosoftSQLServer的全文引擎服婷务,用于快速创建结弱息令才律复征出越叶构化和半结构化数据的内容和属性的全文索话究货价样这客帝国粉引,以允许对此数据进行快速的语言搜索。如果没用的话把它也给关闭上吧.
conim的区航e.exe:输入法编辑器,建议关闭它吧.
还有那些像数**祖殖食均担开超据库的进程,如果没用它的话就把它给禁用掉去吧手定汉云关.其他进程都是正常的进程.
仅在GandCrab 4.0发布的两天之后,FortiGuard Labs的研究人员就发现了一个更新的版本(v4.1)。该版本仍使用相同方法传播,即将被攻陷的网站伪装成破解软件下载站点。
研究人员表示,GandCrab v4.1包含了一个非常长的硬编码列表,列表的内容是它所连接到的受感染的网站。在一个二进制文件中,这些网站的数量达到了近千个。
另外,为了生存每个网站的完整URL,GandCrab v4.1使用了伪随机算法从多组预定义词中进行选择。最终的URL采用以下格式(例如www.{host}.com/data/tmp/sokakeme.jpg)。
在成功连接到URL之后,GandCrab v4.1会向受感染网站发送经加密(以及base64编码)的受害者数据,其中包含如下受感染系统和GandCrab信息:
IP地址用户名主机名网络管区已安装的杀毒软件列表默认系统区域设置俄语键盘布局(0=Yes/1=No)**作系统处理器结构赎金ID({卷序列号的crc } {卷序列号})网络和本地驱动GandCrab 内部信息:idsub_i**ersionaction
研究人员指出,为了确保能够顺利对目标文件进行加密,GandCrab v4.1可能会杀**以下进程:
msftesql.exesqlagent.exesqlbrowser.exesqlwriter.exeoracle.exeocssd.exedbsnmp.exesynctime.exeagntsvc.exeisqlplussvc.exexfssvccon.exesqlservr.exemydesktopservice.exeocautoupds.exeagntsvc.exeagntsvc.exeagntsvc.exeencsvc.exefirefoxconfig.exetbirdconfig.exemydesktopqos.exeocomm.exemysqld.exemysqld-nt.exemysqld-opt.exedbeng50.exesqbcoreservice.exeexcel.exeinfopath.exemsaccess.exemspub.exeonenote.exeoutlook.exepowerpnt.exesteam.exethebat.exethebat64.exethunderbird.exevisio.exewinword.exewordpad.exe
杀**这些进程允许加密例程成功的完成其目标,而不会出现任何不期望的中断。此外,这些目标文件类型通常包含对受害者有价值的数据,因此增加了受害者考虑付款以获取其文件的可能性。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
拓展知识:
原创文章,作者:九贤生活小编,如若转载,请注明出处:http://www.wangguangwei.com/57146.html