欢迎访问山东新数信息技术有限公司网站

齐河数据恢复_服务器电脑维修、安装中心-山东新数信息技术有限公司

  • 产品名称:数据恢复
  • 产品价格:111111.00
  • 产品数量:11111
  • 保质/修期:1
  • 保质/修期单位:
  • 更新日期:2019-12-14
产品说明

服务器数据恢复服务器、存储亮故障灯,齐河数据恢复,固态硬盘电脑维修、安装技术,RAID信息丢失,多块磁盘离线,多块硬盘物理损坏、包含(SAS、SATA、ISCCI、FC硬盘)虚拟化服务器。

存储介质数据修复硬盘、固态硬盘、手机、移动硬盘、优盘、TF卡、CF卡、SD卡、笔记本硬盘,摔落、开盘、开卡、硬盘有坏道、磁头问题、盘片划伤、固件问题不能识别等。

磁盘阵列数据恢复RAID阵列卡出现故障; 磁盘物理故障; 如坏道,磁盘出错,raid 5损坏超过2个盘以上。 导致raid信息丢失。RIAD0、RAID1、RAID5、RIAD6、HP双循环、RAID10、RAID50等。

文件、文档修复Word、Excel、、PowerPoint、ACCESS、zip、图片文档等修复 报错、乱码、打不开、内容错乱偏移等故障各类OFFICE修复。

数据库修复Oracle、MySQL、SQL sever、DB2及常用管家婆、用友、金蝶、金算盘等数据库。数据库丢失、附加错误、删除、病毒等专业修复。

警惕!GandCrab 5.1来袭。

本次发现的是GandCrab家族的最新版本GandCrab5.1。一、入侵分析文件加密时间为2019/1/22 4:22左右。排查日志发现,服务器在2019/1/224:11:54被远程登录过。该IP后面又分别在2019/1/22 4:32:45和2019/1/22 5:02:25再次登录该服务器。登录后,通过浏览器下载了勒索病毒体并进行勒索。

勒索完成后,齐河数据恢复,固态硬盘电脑维修、安装,再次通过浏览器下载内网扫描工具Advanced IP Scanner 2,试图勒索更多内网主机。

二、样本分析1.相对于GandCrab之类的版本,GandCrab5.1版本同样采用了静态对抗反汇编的方法,齐河数据恢复,开盘电脑维修、安装软件,阻止安全分析人员对样本进行静态分析,如下所示:

2.样本的勒索信息版本号变为了5.1,如下所示:

3.遍历进程,结束相关进程,如下所示:

相关的进程列表如下所示:msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe

dbsnmp.exe、synctime.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe

sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe

agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe

ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe

sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe

onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe

thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe4.创建互斥变量体,变量名Global[随机字符串]+,如下所示:

5.查询操作系统安装的输入法以及语言版本,山东新数信息技术有限公司,新数信息技术,GandCrab5.1版本同样增加了不对叙利亚地区的主机进行加密操作,如下所示:

当操作系统语言为如下国家时,则不进行加密,执行自删除操作,相应的国家列表如下:419(LANG_RUSSIAN俄语) 422(LANG_UKRAINIAN乌克兰)

423(LANG_BELARUSIAN白俄罗斯) 428(LANG_TAJIK塔吉克)

42B(LANG_ARMENIAN亚美尼亚) 42C(阿塞拜疆,拉丁美洲(AZ))

437(LANG_GEORGIAN格鲁吉亚人) 43F(LANG_KAZAK哈萨克族)

440(LANG_KYRGYZ吉尔吉斯) 442(LANG_TURKMEN土库曼)

443(乌兹别克斯坦,拉丁语(UZ))444(LANG_TATAR俄罗斯(RU))


莱芜RAID数据恢复技术_SD卡电脑维修、安装价格-山东新数信息技术有限公司
莱芜RAID数据恢复技术_SD卡电脑维修、安装价格-山东新数信息技术有限公司
82C(LANG_AZERI阿塞拜疆,西里尔(亚利桑那州)) 843(LANG_UZBEK乌兹别克)

45A(叙利亚SYR)2801(叙利亚SY)6.获取主机相关信息,如下所示:

获取的相关信息列表如下:用户名

主机名

工作组

操作系统语言

操作系统键盘输入法

操作系统版本类型信息

CPU类型及型号信息

安全软件信息

磁盘类型及空间信息遍历主机上的安全软件,收集安全软件相关信息,相应的安全软件信息,如下所示:

相应的安全软件列表信息,如下所示:ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe

avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe

cfp.exe、msmpeng.exe将收集到的信息,进行加密,加密过程,如下所示:

加密后的数据,如下所示:

7. 从内存中解密出RSA公钥信息,如下所示:

生成再通过微软的函数生成RSA公私钥对,如下所示:

生成的RSA的公私钥,并设置到相应的注册表,如下所示:

8.内存解密出勒索信息等字符串,如下所示:

9. 然后生成随机的加密后缀名,并转化为大写字母,如下所示:

10. 创建两个线程,分别遍历磁盘目录和共享目录文件夹下的文件进行加密,遍历磁盘目录,



供应商信息
山东新数信息技术有限公司
商务服务
公司地址:历下区
企业信息
联系人:王老师
手机:15065318960
注册时间: 2018-01-01
 
网站首页 | 关于我们 | 联系方式 | 使用协议 | 版权隐私 | 网站地图 | 排名推广 | 广告服务 | 积分换礼 | 网站留言 | RSS订阅
Processed in 6.652 second(s), 184 queries, Memory 5.76 M