7x24小时售后服务
5倍故障时长赔付
15天无理由退款
N对一管家服务
让我们的顾问联系您
最初,受害者会接收到一封电子邮件,该邮件中则包含了一份嵌入式可执行恶意Word文档附件,特别是OLE package shell对象。
恶意Word文档看起来像是份专利医学报告,并标有英国医院的信息管理与技术部门的标志。
接着,它会强制受害者双击该可执行文件以启动进程。
一旦受害者进行了双击操作,Defray就会像其他勒索软件一样被删除,并在%TMP%文件夹中启动一个名为taskmgr.exe或explorer.exe的伪装进程并执行。
最终,受害者将会收到文件被加密并要求支付赎金的提示信息。
该勒索软件会在系统的许多文件夹中创建FILES.TXT文件(图3)。 HELP.txt与FILES.txt文件的内容是相同的,该文件同时还会在执行勒索软件的桌面文件夹中。
根据提示信息,勒索者要求受害者向其支付价值 5000 美金的比特币赎金才能恢复被加密的文件。
勒索者还提供了一个电子邮件账号,用于与受害者进一步的沟通协商。
Defray支持对以下文件扩展名的加密:
.001 | .3ds | .7zip | .MDF | .NRG | .PBF | .SQLITE | .SQLITE2 | .SQLITE3 | .SQLITEDB | .SVG | .UIF | .WMF | .abr | .accdb | .afi | .arw | .asm | .bkf | .c4d | .cab | .cbm | .cbu | .class | .cls | .cpp | .cr2 | .crw | .csh | .csv | .dat | .dbx | .dcr | .dgn | .djvu | .dng | .doc | .docm | .docx | .dwfx | .dwg | .dxf | .fla | .fpx | .gdb | .gho | .ghs | .hdd | .html | .iso | .iv2i | .java | .key | .lcf | .matlab | .max | .mdb | .mdi | .mrbak | .mrimg | .mrw | .nef | .odg | .ofx | .orf | .ova | .ovf | .pbd | .pcd | .pdf | .php | .pps | .ppsx | .ppt | .pptx | .pqi | .prn | .psb | .psd | .pst | .ptx | .pvm | .pzl | .qfx | .qif | .r00 | .raf | .rar | .raw | .reg | .rw2 | .s3db | .skp | .spf | .spi | .sql | .sqlite-journal | .stl | .sup | .swift | .tib | .txf | .u3d | .v2i | .vcd | .vcf | .vdi | .vhd | .vmdk | .vmem | .vmwarevm | .vmx | .vsdx | .wallet | .win | .xls | .xlsm | .xlsx | .zip
据Proofpoint报道:“Defray通过HTTP和HTTPS协议与外部C&C服务器进行通信,并向其报告感染信息。”
最后,Defray会加密文件并禁用启动恢复和删除卷影副本。
在Windows7 上,Defray使用GUI监视和杀死运行的程序,例如任务管理器和浏览器。
本文是成都网站建设公司、成都网站设计制作公司、成都APP开发公司、成都响应式网站建设、成都VR全景制作-桔子科技公司为您整理!
成都网站建设,成都网站设计,成都网站制作,成都网页设计,成都网站建设公司 ,成都网站设计公司,成都网站制作公司,成都网页设计公司,网站建设、网站制作、网站设计、网页设计、成都响应式网站建设、成都响应式网站制作、成都响应式网站开发、成都全景制作、成都VR全景制作、成都手机网站建设,手机网站建设,成都APP开发,APP开发,成都建网站,成都做网站,成都商城网站建设,集团网站建设,网站建设,高端网站建设,品牌网站建设,成都平台网站建设,成都响应式网站建设,成都微信网站建设,成都微商城网站建设,成都微信营销,成都微信小程序开发、成都网站优化,成都网络公司。
7x24小时售后服务
5倍故障时长赔付
15天无理由退款
N对一管家服务
让我们的顾问联系您
川公网安备 51010502010278号
ICP备案号:蜀ICP备10206569号-2