flash源文件下载(flash动画源文件下载)

flash动画成品下载

最近几天，一个名为OpJerusalem的恶意操作正在悄然进行。此操作使用一种新型勒索软件，已经感染了世界各地的某些用户。 SI-LAB分析了该恶意软件，发现该恶意软件使用的技术并不复杂。该恶意软件由Go编写，并带有UPX，UPX是在该恶意软件中硬编码的RSA公共证书，用于加密受害者的目标文件。每当恶意软件运行时，都会生成一个新的唯一密钥。但是，由于加密对象文件的RSA公钥是静态的，因此，由于仅使用一个简单的密钥进行加密，因此这也意味着可以将唯一的RSA私钥用于解密。 此恶意软件称为JCry（文件加密后文件名将以。jcry扩展名重写），并且是OpIsrael 2019计划的一部分。 OpIsrael是一个每年都会启动以色列政府和私人网站的黑客组织。网络攻击计划旨在对以色列发起网络攻击，以抗议以色列政府在以巴冲突中采取的行动。 过去，这个黑客团伙使用了一些较常见的攻击方法，例如破坏网站或使用分布式拒绝服务攻击（DDoS）。 2013年4月7日，该团伙利用DoS攻击和数据泄露对以色列的大量网站造成了严重破坏。从那时起，参与者和支持者的数量一直在下降。 图1：OpIsrael参与者的统计数据。 上周末，数百个以色列热门站点成为OpJerusalem行动的新目标。该攻击使用JCry勒索软件感染了Windows用户，用于传播勒索软件的感染媒介是一个受感染的网站。 为了进行此攻击，黑客修改了nagich 【。】 Com的流行网络功能插件的DNS记录。当用户使用插件访问网站时，将加载恶意脚本而不是合法插件。 卡巴斯基实验室首席安全研究员Ido Naor于3月2日星期六在VirusBay上分享了这一发现。然而，研究人员表示，此次攻击未成功：只需使用脚本查找受害者的用户代理，将流量重定向到一个名为update。html的页面，找到该脚本后，便会将其一部分与字符串“ Windows”进行比较。如果不是Windows，该脚本将仅显示一个污损的页面，如果是，请向受害者提供虚假的Adobe更新。但是由于代码失败（比较条件），所以代码无法到达下载链接，因此攻击实际上是无效的。 超级性的电影网站受到感染后，将放置一个脚本来执行以下任务：·如果javascript变量与特定字符串“ Windows”匹配，则会触发恶意的Adobe更新消息以传递给JCry勒索软件。 ·否则，将显示污损的页面。 以色列网站nagish 【。】 Co 【。】 Il被入侵，并留下了以下信息：OpJerusalem，耶路撒冷是巴勒斯坦的首都。 网页的源代码发布在GitHub上，很容易看到一个有趣的错误：JCry将永远不会下载，因为打印的消息条件是错误的，并且始终是真实的。 （这里的代码）图2：此活动中使用的恶意代码。 为吸引受害者，下图显示消息：“您的Adobe Flash Player版本已过时，请更新。”用户选择更新时，将下载恶意文件。 图3：当用户选择更新时，将下载恶意文件。 图4：从hxxp：//185。163。47。134下载了恶意文件“ flashplayer_install。exe”。 如果用于访问该页面的浏览器用户代理不包含“ Windows”，则显示损坏消息，并且什么也没有发生。 图5：当浏览器的用户代理不是Windows设备时显示的页面。 技术分析SI-LAB通过分析这种新的勒索软件了解犯罪分子的行为和技术。感染过程将开始。如图所示，恶意软件图标与常见的Adobe Flash Player可执行文件相同，是欺骗受害者的一种技巧。

flash动画源文件下载

图6：勒索软件图标。 第一个。exe是Winrar SFX文件Dropper，其中包含三个文件，即：图7：dropper。 Enc。exe负责加密用户设备上的所有目标文件，这是勒索软件的初始阶段；勒索赎金后，Dec。exe负责解密所有可执行文件；最后一个msg。vbs具有简单的消息编码。这两个文件（* 。exe）将被复制到用户的“启动”文件夹中。 图8：植入的文件。 如下所示，勒索软件由UPX打包，因此很容易被破解。 图9：检测到UPX加壳程序。 乍看之下，将这两个文件解压缩后，所有文件都将解压缩，我们可以继续进行恶意软件分析。 图10：解压缩后的Enc。exe。 沉IDA如图所示，我们可以看到此恶意软件是在Goland上编码的。 图11：Goland用于构建勒索软件。 值得注意的是，Golang（Go）是一种相对较新的编程语言，用它编写的恶意软件并不常见。 但是，用Go编写的新变体正在出现，这对恶意软件分析师提出了巨大的新挑战。用Go编写的应用程序很庞大，并且在调试器下看起来与用其他语言（例如C / C ++）编译的应用程序完全不同。 为了了解是否可能存在恶意软件，我们重命名了某些功能。您可以看到一些已声明的加密功能-这是一个重要指标，我们可以将此威胁归类为勒索软件。 图12：观察到的加密功能。 恶意软件的内置RSA公钥用于加密所有目标文件。 JCry使用扩展名为“ 。jcry”的文件名加密数据（例如，“ file。jpg”重命名为“ file。jpg。jcry”）。数据加密后，我们将在后面解释。 勒索软件每次对文件进行加密时都会使用RSA公钥，如下所示：图13：勒索软件使用RSA公钥来加密目标文件由于密钥是硬编码的，因此我们推测私钥可能也是唯一的-因为公钥是不可变的。这样，通过获取私钥，可以恢复每个受感染用户的所有文件。 具体来说，该恶意软件使用crypto_cipher_NewGCM函数加密目标文件，并使用os__ptr_File_Write函数将所做的更改写入磁盘（加密文件）。 图14：用于加密目标文件的功能。 在Dec。exe文件中使用相同的功能解密该文件。 图15：用于解密目标文件的功能。

免费flash素材网站

有趣的是，在分析这些文件时，我们能够识别出有关该勒索软件（sh4dow）背后的作者的一些信息。 图16：有关恶意软件作者的信息。 Exec恶意软件在运行时，将创建4个新线程，负责加密受感染用户设备上的所有文件。 图17：用于加密所有目标文件和CPU性能的线程。 然后加密文件并添加新的文件扩展名（。jcry）。 图18：。jcry扩展名已添加到加密文件中。 加密过程完成后，将执行PowerShell并打开可执行文件Dec。exe。 图19加密过程的结尾和解密的文件（Dec。exe）将打开。 恶意软件还会创建一个名为JCRY_Note的兑换通知。它包含受害者的唯一密钥，发送了500美元赎金的比特币地址以及一个TOR站点（http：// kpx5wgcda7ezqjty）。 图20：勒索记录，比特币地址，受害者唯一键如下所示，当通过Powershell进程执行Dec。exe时，将删除ext。exe文件，并添加文件“ PersonalKey。txt”，包含用于支付赎金的密钥。 也可以在IDA上观察到此活动。 图22：执行Dec。exe文件时，Enc。exe文件将被删除。 然后重新运行恶意软件，并验证是否实际生成了新的唯一密钥。我们发现，每次运行时都会生成不同的唯一键（它们实际上是唯一的）。 图23：重新运行后生成的唯一密钥。 有趣的是，这次恶意软件无法消除第一阶段（Enc。exe）。此外，如果PersonalKey。txt文件位于同一文件夹中，则勒索软件无法启动。我们需要先删除它，然后才能再次运行它。 图24：尝试删除ext。exe文件时，恶意软件拒绝访问（请参见左下角）。 通过访问TOR网站，我们发现它包含一个字段，该字段接收钱包地址和生成的唯一密钥。 图25：用于收集赎金的TOR网站由于用于支付的1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt比特币地址对于每个受害者都是相同的，因此攻击者很难知道谁实际付款了。尚不清楚攻击者在支付赎金后是否会提供密钥。 此外，我们可能会注意到此比特币帐户当前未收到任何付款（2019年3月5日）。 图26：骗子使用的比特币钱包