- 博客(33)
- 收藏
- 关注
RSS订阅原创 【病毒分析】Babyk加密器分析-NAS篇
该架构的设计因为加密的系统是NAS文件存储系统,并未进行多余的服务关闭等功能,只是做了简单的目录过滤,然后就开始了加密,加密完毕后写入公钥和加密标志并且会对每个目录下写入勒索信。
2024-07-17 10:41:32
562
原创 【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-07-04 17:09:39
1034
原创 【病毒分析】Steloj勒索病毒分析
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-06-19 14:39:35
1219
原创 【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案
PHP是一门通用开源脚本语言,其语法借鉴吸收C、Java和Perl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。XAMPP是最流行的PHP开发环境,XAMPP是完全免费且易于安装的Apache发行版,其中包含MariaDB、PHP和Perl。XAMPP开放源码包的设置让安装和使用出奇容易,它以其广泛的应用范围在本地开发和测试领域备受赞誉。官网地址:https://www.apachefriends.org/zh_cn/index.html。
2024-06-12 15:25:33
1297
1
原创 【工具分享】AstraLocker勒索病毒解密工具
ReversingLabs发现了AstraLocker勒索软件的新版本,该勒索软件直接从Microsoft Office文件中分发,用作网络钓鱼攻击的诱饵。分析表明,负责此活动的威胁行为者可能从 2021 年 9 月的 Babuk 勒索软件泄漏中获得了 AstraLocker 2.0 的底层代码。这两个活动之间的链接包括共享代码和活动标记,而列出用于支付赎金的门罗币钱包地址与 Chaos Ransomware 团伙有关。
2024-06-11 10:19:00
778
原创 【病毒分析】Babuk勒索家族babyk后缀系列分析--Windows篇
Windows这部分的加密的执行主要采用了多线程的方式,其中加密算法采用了Curve25519算法作为其加密算法,每个文件都是使用了同一个黑客的公钥来实现的密钥交换,但每个文件都会生成一个属于自己的私钥和公钥,而且整体发现此款恶意程序以加密速度为目标,为的就是用最短的时间来实现对中招电脑的资料进行加密。
2024-05-29 09:20:40
805
1
原创 【工具分享】Annabelle勒索病毒解密工具
Annabelle勒索病毒灵感来自恐怖电影系列 Annabelle。除了文件加密功能外,Annabelle 勒索软件还会试图禁用防火墙,强制停止一系列正在运行程序,通过连接的 USB 驱动器进行传播。
2024-05-27 10:54:19
307
原创 【病毒分析】Wormhole勒索病毒分析
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-05-21 16:57:16
1161
原创 【病毒分析】Lockbit家族Lockbit 3.0加密器分析
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-05-20 14:58:25
940
原创 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
LockBit 已成为全球网络安全领域的重大威胁,对包括全球医院和企业在内的关键基础设施发起了一系列严重的勒索软件攻击。该组织的勒索病毒对受害者的数据进行加密,使其无法访问,然后要求支付巨额赎金进行解密。LockBit 3.0是LockBit勒索软件家族的最新版本,它在网络安全威胁中占据重要地位。LockBit初版(2019年)首次出现:LockBit首次在2019年被发现,当时它被称为“ABCD”勒索软件。其设计目标是通过快速加密受害者的文件来勒索赎金。传播方式:主要通过钓鱼邮件和利用漏洞进行传播。
2024-05-20 11:34:51
1376
原创 【工具分享】Amnesia2勒索病毒解密工具
Amnesia 勒索软件于 2017 年 4 月 26 日开始出现。Amnesia 主要通过 RDP(远程桌面服务)暴力攻击进行传播,允许恶意软件作者登录受害者的服务器并执行勒索行为。
2024-05-07 15:57:30
263
原创 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-04-29 10:25:43
1198
2
原创 【病毒分析】phobos家族2700变种加密器分析报告
其中函数sub_406432为加密函数,v16与v17为加密时需要使用的数据,包括密钥与初始IV等,通过函数sub_40669B生成加密需要使用的数据,加密后的数据写入新文件,最后会删除原文件。函数sub_408C42的加密流程与函数sub_408782一致,区别是sub_408C42是部分加密,2个函数都会调用同一个加密核心函数sub_406432。加密完文件内容后会加密文件的基础信息,包括文件名等信息,其中,a2也会被加密后放入文件末尾(a2为之前生成的filekey)。与phobos家族的标准一致。
2024-04-18 09:51:19
533
原创 【紧急警示】揭秘全新勒索手段:针对NAS被黑客入侵的背后故事
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-04-18 09:49:13
1189
原创 【病毒分析】phobos家族faust变种加密器分析
近期,Solar团队收到某物联网公司的援助请求,该公司的计算机服务器受到了phobos勒索家族的侵害,所有的文件被加密并且添加了.faust后缀,该勒索软件的初始入侵方式是利用爆破RDP密码进行的。应客户的要求,本文暂不提供对入侵事件溯源的分析报告,仅提供该勒索病毒加密器的逆向分析报告。
2024-04-15 15:42:48
1169
原创 【工具分享】Alcatraz勒索病毒解密工具
Alcatraz是来自勒索软件组织的一种非常严重的加密病毒。它使用 AES-256 算法加密文件,然后将扩展名 .alcatraz 附加到锁定的文件中。根据研究人员的说法,Alcatraz勒索软件是由Rig漏洞利用工具包推动的。然而,感染可以使用不同的方法渗透到系统中。勒索软件分发的一种流行方式是通过垃圾邮件。电子邮件可能会假装是从合法和知名的来源发送的。威胁可能隐藏在邮件正文中、提供的恶意链接或恶意附件中。
2024-04-11 17:43:07
317
原创 【病毒分析】DevicData勒索病毒分析
近期,Solar团队收到某医疗单位的援助请求,该公司的计算机受到了某勒索病毒的侵害,所有的文件被加密并且添加了.DevicData-P-470b1abd后缀,我司人员现场取证进行排查并提取加密器,本文是对于加密器的分析。
2024-04-11 17:39:27
754
原创 【病毒分析】locked勒索病毒分析
近期,Solar团队收到某物流公司的援助请求,该公司的计算机服务器受到了locked勒索家族的侵害,所有的文件被加密并且添加了.locked后缀,该勒索软件的初始入侵方式是利用知名财务系统的nday进行的。应客户的要求,本文暂不提供对入侵事件溯源的分析报告,仅提供该勒索病毒加密器的逆向分析报告。
2024-04-09 17:34:51
1003
原创 【病毒分析】mallox家族rmallox变种加密器分析报告
近期,Solar团队收到某信息技术公司的援助请求,该公司的计算机服务器受到了mallox勒索家族的侵害,所有的文件被加密并且添加了.rmallox后缀,该勒索软件的初始入侵方式是利用知名财务系统的nday进行的。应客户的要求,本文暂不提供对入侵事件溯源的分析报告,仅提供该勒索病毒加密器的逆向分析报告。
2024-04-01 16:22:25
2042
原创 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-04-01 15:58:35
894
2
原创 【病毒分析】中国人不骗中国人?_locked勒索病毒分析
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-03-26 10:48:44
773
原创 【病毒分析】phobos家族2700变种加密器分析报告
其中函数sub_406432为加密函数,v16与v17为加密时需要使用的数据,包括密钥与初始IV等,通过函数sub_40669B生成加密需要使用的数据,加密后的数据写入新文件,最后会删除原文件。函数sub_408C42的加密流程与函数sub_408782一致,区别是sub_408C42是部分加密,2个函数都会调用同一个加密核心函数sub_406432。加密完文件内容后会加密文件的基础信息,包括文件名等信息,其中,a2也会被加密后放入文件末尾(a2为之前生成的filekey)。与phobos家族的标准一致。
2024-03-19 17:12:53
659
2
原创 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。
2024-03-19 17:08:08
1115
原创 【工具分享】LIVE1.5解密工具
本篇文章衔接上篇【病毒分析】独家揭秘LIVE勒索病毒家族之1.5(全版本可解密)文章,该文对LIVE1.5版本解密工具的使用进行说明并提供了该工具的下载地址。
2024-03-19 17:00:52
417
原创 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5(全版本可解密)
分析该加密文件时,发现此次病毒保留了LIVE1.0版本的加密后文件的命名方式,同时使用了LIVE2.0版本的文件加密方式,故分析此次木马的版本介于LIVE1.0与LIVE2.0之间,命名此木马为LIVE1.5版本。
2024-03-18 09:30:44
804
原创 【工具分享】LIVE2.0解密工具
本篇文章衔接上篇【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)文章,该文对LIVE2.0版本解密工具进行分析并提供了该工具的下载地址。
2024-03-18 09:25:51
483
原创 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)
LIVE2.0勒索病毒是LIVE家族的第二代恶意软件,该恶意软件会加密受害者的文件,并且将受害者的ID、文件名称和文件名称的长度写入到加密文件的末尾,最后会将文件名重命名成带.LIVE的文件 ,尤其是针对较重要的文本类文件会采用全部数据加密的方式。此外,它还会提供给受害者一封“FILE RECOVERY_ID_+受害者ID.txt”的勒索信。
2024-03-13 17:05:42
981
2
原创 【工具分享】LIVE1.0解密工具
本篇文章衔接上篇【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)文章,该文对LIVE1.0版本解密工具进行分析并提供了该工具的下载地址。
2024-03-12 10:37:39
831
1
原创 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)
LIVE勒索病毒家族最早被曝光是在23年12月份,360的论坛发布了该家族的被加密样本,其加密特征为文件名后直接添加LIVE后缀,这时候还是该家族勒索病毒的1.0版本。
2024-03-12 10:31:34
1063
原创 【病毒分析】交了赎金也无法恢复--针对国内某知名NAS的LVT勒索病毒最新分析
从技术层面而言,该LVT勒索病毒目前只针对这款NAS的漏洞进行了渗透入侵,并且释放LVT勒索病毒,据不完全统计,目前国内受害者有几十家使用该NAS的用户,同时LVT勒索加密程序生成了一对ecc公私钥,ecc公私钥利用生成,每次生成结果不同。其中私钥利用程序内置的RSA公钥加密后保存在中,ecc公钥参与chacha20的加密工作,如需解密文件,必须需要ecc私钥,ecc私钥只能通过黑客的RSA私钥解密获得。上文解密程序中ecc。
2024-03-07 18:15:49
1151
原创 Lockbit 3.0勒索病毒加密程序分析
在2022年,LockBit是全球规模最大的勒索软件变种,且在2023年继续肆虐。自2020年1月以来,使用LockBit的附属机构已针对各个规模的关键基础设施领域的组织进行了攻击,包括金融服务、食品和农业、教育、能源、政府和紧急服务、医疗保健、制造和交通等。LockBit勒索软件运营采用了勒索软件即服务(RaaS)模式,招募合作伙伴利用LockBit勒索软件工具和基础设施进行勒索软件攻击。
2024-02-29 21:39:28
1416
1
原创 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
以上就是今天所要分享的全部的内容,本文介绍了本团队成功解决某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目的总结分享。
2024-02-23 16:02:55
998
原创 关于我们——solar专业应急响应团队
团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)等认证,已构建了网络安全行业合格的资质体系;与各大厂有着深度合作,并持有360政企安全认证经销商、深信服授权认证培训中心等认证。
2024-02-22 14:58:53
905
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人