勒索病毒事件溯源

最新推荐文章于 2023-05-31 20:31:09 发布
最新推荐文章于 2023-05-31 20:31:09 发布
阅读量4.8k 收藏 29
点赞数 1
分类专栏: 应急响应 文章标签: 网络 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/127083211
版权

判断本机是否为真正中毒主机

由于勒索病毒通常都会对其所能访问到的共享文件夹进行加密,所以病毒文件有可能并没有运行在共享文件被加密的主机中。

判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。

如果只有共享文件夹被加密,则首先需要找到全盘被加密的主机(即真正中毒的主机)才能进行溯源。

确定开始加密时间点

在中毒主机中使用everything搜索被加密文件,比如文件加密后缀为“Ares666”,那么就搜索“*.Ares666”,按修改时间排序,确定开始加密时间点,如下图:

分析加密时间点的异常文件及日志等

异常文件分析

使用文件搜索工具everything搜索“*.exe”、“*.bat”、“*.vbs”等,按创建时间排序,如下,对于创建时间为加密时间点附近的可疑文件,可取出进行进一步分析,包括勒索病毒、恶意脚本、黑客工具等。如下图Ares666.exe经分析可知其为勒索病毒文件:

异常event log分析

分析加密时间点附近的可疑event log,查看重点日志;

重点日志:

Windows日志→Security

Windows日志→System

Windows日志→Application

应用程序和服务日志 → Microsoft → Windows → TerminalServices-LocalSessionManger

应用程序和服务日志 → Microsoft → Windows → TerminalServices-RemoteConnectionManager

如下,通过查看TerminalServices-LocalSessionManger日志,发现在加密前的几分钟有远程桌面登录日志,基本可以判断黑客是通过远程桌面登录的方式人工植入病毒,源IP为192.168.8.1。

查看安全日志,发现大量登录失败日志,则可以判断为暴力破解登录:

如上源IP为内网IP的情况,说明黑客是通过内网的跳板机进行传播,还需要继续对跳板机进行分析从而进一步溯源。

其他异常事件

包括是否中了木马/僵尸网络,以及加密时间点附近的邮件、流量日志、web日志、sql日志等。

使用工具LastActivityView可以查看部分系统行为记录,从中也可以发现异常行为:

总结

[1] 首先要明确真正的中毒主机,只有共享文件夹被加密的主机并没有中病毒。

[2] 有的勒索病毒在运行完后会自删除,所以不一定能找到病毒样本。

[3] 基本思路是确定开始加密时间,然后分析这个时间点的可疑文件及日志。

[4] 大多数勒索事件都是RDP暴破人工植入,在溯源时应该首先往这个方向排查。

Sword-heart
关注
  • 1
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【应急响应篇】勒索病毒应急响应指南
大河之犬的博客
04-20 924
在初步预判遭遇勒索病毒攻击后,需要了解被加密文件的修改时间及勒索信建立时间,以此推断攻击者执行勒索程序的时间轴,以便后续依据此时间进行溯源分析,追踪攻击者的活动路径。一些提示信息中会包含勒索病毒的标识,由此可直接判断本次感染的是哪一类勒索病毒,再通过勒索病毒处置工具查看是否能够解密。确认勒索病毒事件后,需要及时对勒索病毒进行清理并进行相应的数据恢复工作,同时对服务器/主机进行安全加固,避免二次感染。此外,文档卫士还集合了“文件解密”功能,安全专家可对一些勒索病毒家族进行逆向分析,实现多种类型的文件解密。
Mallox勒索病毒溯源注意
摔不死的笨鸟的博客
12-09 802
Mallox勒索病毒
溯源勒索病毒
最新发布
mulincong的博客
05-31 1201
溯源勒索病毒
勒索病毒攻击后,有没有必要做溯源分析?
云盒子企业云盘官方账号,17年专注文档安全
07-05 1504
勒索病毒又火了,黑客凭借对kaseya勒索软件攻击,造成1000家公司受害,这些公司遍布在美国、英国、加拿大、南非等最少17个公家,其中瑞典最大的连锁超市COOP超过800家实体店在这次攻击事件中关门。 7月3日,美国总统拜登要求情报机构全面调查攻击事件。 近半年以来,勒索软件团队甚是“猖獗”,勒索事件频发,勒索金额屡创新高,攻击也愈发具备针对性。 从勒索病毒感染行业来看,数据价值较高的传统行业、医疗、政府机构遭受攻击较为严重,依次占比为37%、18%、14%,总计占比高达69%。 经过几年
WannaRen勒索病毒溯源新进展 或通过下载站大量传播
进击的龙
04-09 716
最近火绒证实网传WannaRen勒索病毒疑似样本实际为病毒解密工具,并对真实的病毒样本展开溯源分析,随即捕获到其传播脚本(目前已被作者删除)。随后,通过进一步溯源,我们发现国内西西软件园(西西软件园-西西游戏网-多重安全的软件下载基地)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之...
勒索病毒分析报告
w_g3366的博客
09-07 4140
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
一次失败的溯源(中勒索病毒之后)
SwBack的博客
01-10 350
打开电脑,发现文件都被修改为CC3H各处都有此html 打开之后查看,是勒索病毒 Decryption INFO.html进行溯源,首先前一天晚上22:00左右电脑还是没有问题的,查看下文件修改时间,基本上就是1月7日凌晨1点41:05 先查看下其他简单的信息,(用户,共享,定时任务等等)这是共享其中C,D是默认共享。admin$是正常的系统共享文件IPC$也是系统自带不过我感觉admin账号出了...
勒索病毒防护解决方案及应急响应专题资料合集.zip
05-11
快速恢复+溯源——CDP技术在抵御勒索病毒中的应用 勒索病毒的刨析与防范 勒索病毒立体防护解决方案 勒索病毒应急措施及防护方案 勒索病毒应急响应自救手册(第二版) 勒索软件取证与溯源 如何在勒索病毒恶意攻击中...
linux勒索病毒如何恢复数据,勒索病毒和相应的解密工具
weixin_36297610的博客
05-12 1229
大多数企业在中了勒索病毒之后都会非常恐慌,不知怎么办,最直接的办法就是把中毒的机器进行隔离,断网处理,然后等待专业的安全服务人员上门进行处理,针对一般的勒索病毒应急处理方法,如下:1.断网处理,防止勒索病毒内网传播感染,造成更大的损失;2.查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本;3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密;4.进行溯源分析,确认是通过哪种方式传...
2021勒索病毒大盘点
wulanlin的博客
01-13 1483
2021年,新冠肺炎仍然在全球范围内肆虐,各行业除了应对疫情的持续冲击外,还面临着一种形态多样、高频化的“流行病”--勒索病毒。它们加密并窃取数据,甚至威胁破坏或泄漏数据,以此胁迫受害者缴纳高昂赎金,获得“暴利”。勒索病毒为何有这么大的能量,让所有行业“谈虎色变”?面对勒索病毒,难道只能“躺平”?接下来,我们就来盘一盘。 勒索病毒的主要类型 从1989年出现世界上第一个已知的勒索病毒“AIDS Trojan”,到2006年中国大陆出现首个勒索软件“Redplus”,全球范围内一直都在遭受着勒索攻击。尤.
勒索病毒攻击回顾及预防
07-22
勒索病毒
局域网内批量扫描永恒之蓝(勒索病毒)漏洞脚本
05-17
依据腾讯发布的勒索病毒漏洞扫描工具,编写了一个简单的批量扫描脚本,可以扫描C类网所有电脑是否存在漏洞需要修复,可根据实际需要修改IP地址范围。扫描结果以txt文件保存。 运行scannsa.bat,依次输入: 1.C类IP地址段,例如:192.168.1 2.起始IP,例如:2(默认为1) 3.结束IP,例如:254(默认为255)
入侵排查篇---勒索病毒自救指南
永不垂头的博客
01-26 3793
入侵排查篇—勒索病毒自救指南 文章目录入侵排查篇---勒索病毒自救指南前言一、勒索病毒搜索引擎二、勒索工具解密工具集我的公众号 前言 经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗? 第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发 现所有的脚本文件及附件后名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特 征。 出于职业习惯,我打包了部分加密文件样本和勒索病毒提示信息用于留档,就在今天,我又重新上传了样本,至今依然
病毒分析五:勒索病毒分析
liuhaidon1992的博客
12-11 747
一、样本简介 样本是52论坛找到的 样本链接: https://pan.baidu.com/s/1yRlNwHKSa9F-nHhUiO0BCA 提取码: p498 二、现象描述 点开样本后,会弹出一个文本,里面有一串数字,这串数字是加密和解密的关键。然后电脑CPU会飙升到100%,是因为病毒创建了50个加密线程加密文本。 三、样本信息 MD5值:abca8f0299f6b5911143694...
流行勒索病毒分析总结
m0_68649618的博客
04-04 1007
一、概述 信息安全(Information Security),意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。从层面的概念来看,计算机硬件可以看作是物理层面,软件可以看做是运行层面,然后就是数据层面。从属性的概念来看,破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深,信息安全已是当今众多互联网领域的突出问题之一。 在众多信息安全风险中,居首位者当属网络攻击。无论是公..
Windows勒索病毒防范、解决方法全攻略
weixin_34364071的博客
05-15 1562
【防御措施建议】1、安装杀毒软件,保持安全防御功能开启,比如金山毒霸已可拦截(下载地址http://www.duba.net),微软自带的Windows Defender也可以。2、打开Windows Update自动更新,及时升级系统。微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,同时针对停止支持的Windows XP、W...
恶意软件分析——Tesla勒索病毒分析
摔不死的笨鸟的博客
09-06 1077
目录 概述… 2 样本信息… 2 样本行为… 2 流程图… 4 技术细节详细分析… 5 静态分析… 5 线程一:结束指定进程… 8 线程二:删除卷影副本… 8 线程三:网络连接服务器… 9 线程四:遍历文件并实施加密… 9 动态分析… 11 样本溯源… 12(略) 查杀·防御技术方案… 13 总结… 14 FileName FileType FileSize MD5 tfukrc....
Window应急响应(三):勒索病毒
08-05 284
0x00 前言 ​ 勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后,各种变种及新型勒索病毒层出不穷。 0x01 应急场景 ​ 某天早上,网站管理员打开OA系统...
基于DNS日志分析,勒索病毒和远程控制病毒排查方法
xudxy的专栏
06-15 4574
 由于公司受到勒索病毒及一些远程控制病毒攻击,在杀毒软件不能正常查杀的情况下怎样知道全网有多少用户受到威胁,通过行业一些专业机构给出的处理方法,经验证,通过DNS日志分析是一个很好的排查手段,下面对本次排查过程进行分析,希望可以帮助到大家。           1.勒索病毒和远程控制病毒特征分析               通过网上收集,勒索病毒和远程控制病毒运行会访问特定域名,仅作为示例:   ...
病毒溯源 分数 25 作者 陈越
04-22
对于病毒溯源这一话题,需要了解一些病毒学和流行病学的知识。病毒溯源是指通过对病毒的基因组分析,确定其可能的起源和传播途径,以便采取相应的措施来防控疫情。在病毒溯源中,一些方法包括对不同地区、不同时间、不同疾病病例等的病毒样本进行比较,以及分析病毒的基因组序列,通过基因重组、演化树等方法确定其来源和传播途径。 病毒溯源的研究对于防控类似COVID-19这样的新型传染病具有重要意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值