网络安全为人民
网络安全靠人民
其他就不写了
检测规则在之前文章中披露过,也不知道为啥被举报被和谐没了,但去年那个规则还是可以检测到今年三月份编译的勒索软件,最新的补充了一下规则。
如下:
rule Ransom_HuntersInternational_Win{meta:description = "HuntersInternational GROUP"author = "virk"thread_level = 10in_the_wild = truestrings:$a = {81 FF 00 08 00 00 73 1D C1 E8 06 0C C0 88 44 24 2C 40 80 E7 3F 40 80 CF 80}$b = {48 83 FA 09 BF 08 00 00 00 48 0F 43 FA 48 89 FA 48 F7 D2 48 C1 EA 3F 48 85 C0 74}$c = {4C 8B 40 08 45 8B 40 08 4C 01 C2 48 39 D6 0F 82 ?? 00 00 00 83 C3 01 48 83 C0 28 39 CB 75 D9}$d = {4D 09 D1 4D 09 D9 49 09 F9 49 09 D9 4D 09 F1 4D 09 F9 4C 33 0C 10}$e = {49 83 C7 10 48 83 C5 38 48 FF C3 49 39 ED 0F 85 ?? ?? ?? ?? EB 6A}$f = {48 89 D0 48 C1 E8 ?? 48 31 D0 48 F7 D0 48 89 C2 48 D1 C2 31 C2 0F B7 C2 48 01 C8}$g = {49 39 ED 0F 85 17 FF FF FF EB 6A 01 00 00 00}condition:(uint16(0) == 0x5A4D) and (($a and $b and $c) or $d or $e or($f and $g))}
被勒索过的,推荐点击下面链接,都不要钱,童叟无欺
能动手的看这里
能研发的看这里
原文始发于微信公众号(锐眼安全实验室):据传某银行遭到了代号为Hunters International的网络响马勒索攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论