在Tomcat配置文件中,删除类似如下的配置项,即可禁用Web端登录:
?
3
临时防护建议
定期对重要数据进行备份。
检查crontab和rc.local文件,删除该病毒相关的启动信息。...,pem,pfx,cer,psd
为了保证系统可以正常运行,样本不会加密以下目录中的文件:
Windows, python2, python3, boot, i386, 360safe, intel...根据绿盟科技安全研究团队的研究结果,该勒索软件依赖于AES算法对文件进行加密,然而通过分析样本代码可以看出,样本内存在较严重的内存空间浪费和野指针问题,这一点在该家族的windows版本中尤为突出,成为该勒索软件的致命缺点...因此如能在样本完成加密后第一时间对物理内存进行取证分析,即可从物理内存中提取出密钥字符串对加密文件进行解密。
样本首先申请一段空间用于保存生成的随机字符串:
?
然后取前32位作为真正的密钥:
?...使用此密钥作为参数编写AES_ECB算法,每次取16字节对加密文件进行解密即可将加密文件还原:
?