其他
Snatch病毒重新启动安全模式勒索
本文为看雪论坛优秀文章
看雪论坛作者ID:驱动骑士
看到一个安全新闻:
创建服务:
服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SuperBackupMan
安全模式:
“bcdedit / set {current} safeboot minimal”
最后执行关机进入安全模式之服务启动自身。
安全模式启动,使得杀软无法启动拦截查杀,通过注册的服务病毒带参数执行勒索程序。执行删除卷影开始加密文件。
加密公钥:
勒索信:
运行后自删除,事了拂衣去,留下勒索信。
看雪ID:驱动骑士
https://bbs.pediy.com/user-845934.htm
推荐文章++++
好书推荐