PIET
一直专注于
电能质量治理领域
咨询热线:
一直专注于
电能质量治理领域
咨询热线:
江苏智峰电气科技有限公司
江苏省苏州市相城区聚金路28号
电话:0512-69582078
传真:0512-69592618
业务:陈先生15358496869
PIS复合开关而新版Paradise勒索病毒的特别之处远不止这一点,这就相当有趣了。下面,零日给大家介绍一下这个尚在“测试版”的Paradise勒索病毒变种。
以合法IQY文件为保护壳,说实话零日看了这招,一方面觉得有点“鬼才”,另一方面也想看看,Paradise究竟是如何利用IQY文件的?
为什么说是“可武器化的文件”?因为该公式可能会滥用系统进程,例如PowerShell、cmd、mshta或任何其他LoLBins(非现场二进制文件)。大家都知道,这是合法的Excel文件类型,因此许多网络管理设备不会阻止或过滤该文件,于是,Paradise病毒的机会就来了。
先通过Necurs僵尸网络分发IQY附件,来传播与Paradise勒索病毒绑定的程序,FlawedAmmyy 远控木马。然后,接下来要做的是诱使用户打开恶意IQY附件,该附件会从攻击者的C2服务器中检索恶意脚本。
江苏智峰电气科技有限公司
江苏省苏州市相城区聚金路28号
邮箱:3084405118@qq.com
电话:0512-69582078
传真:0512-69592618
业务:陈先生15358496869
