勒索软件
文章平均质量分 83
kitsch0x97
这个作者很懒,什么都没留下…
展开
-
勒索软件分析_LOCKBIT
LOCKBIT 是一种广泛传播的加密勒索软件家族,最早于 2019年被发现,起源于俄罗斯。该组织采用“勒索软件即服务”(RaaS)运营模式,为各种攻击者提供工具和基础设施,以便进行勒索攻击。LOCKBIT 的受害者包括金融服务、教育、医疗保健、制造以及政府机关等多个关键基础设施领域的组织。自 2020 年以来,LOCKBIT 在全球范围内进行了一系列攻击,2022年它被认为是全球规模最大的勒索软件变种。介绍 LOCKBIT 的起源、黑客运营模式以及对受害者组织的影响。原创 2024-08-13 12:11:24 · 623 阅读 · 0 评论 -
勒索软件分析_目标文件扫描行为分析
BlackBasta首先通过 FindFirstVolumeW 与 FindNextVolumeW 实现系统中第一个卷的搜索和其余卷的遍历,之后通过 GetVolumePathNamesForVolumeNameW 检索指定卷的驱动器号和挂载的文件夹路径列表,然后通过 GetVolumeInformationW 获取关于指定卷的信息,具体代码如下所示。AvosLocker通过中也存在类似的操作,值得注意的是上述两种勒索软件针对卷的扫描和针对文件的扫面是分开的。原创 2024-06-04 22:08:22 · 402 阅读 · 0 评论 -
勒索软件分析_卷影副本删除行为分析
由于 BlackBasta 勒索软件通过命令行删除卷影副本,禁用Windows恢复和修复,并以安全模式引导电脑,而这些命令行以明文的方式嵌入在勒索软件代码中,如下图所示。通过分析上述代码,可知 sub_43DC04 是执行命令行的关键。上述代码的关键是通过 _spawnve 函数创建并执行新进程,通过上述代码可以实现上面三个命令行的执行。通过 IDA Pro 的反编译功能分析 BlackBasta 如何运行这些命令行,反编译后的代码如下。原创 2024-06-04 16:42:16 · 225 阅读 · 0 评论 -
勒索软件分析_勒索软件样本收集
LIVE、DragonForce、Tisak、MEOW LEAKS、Lambda、、Electronic、、、CiphBit、、INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor、RA GROUP、、、Akira、Rhysida、、、Zhong、AlphaWare、EXISC、、、RTM Locker、、Money Message、Merlin、726、、Masons、DoDo、Vendetta、Medusa持续更新····原创 2024-05-13 20:17:40 · 810 阅读 · 0 评论 -
勒索软件分析_AvosLocker
由于不同的分支机构采用了不同的入侵技术,每个威胁参与者部署AvosLocker方法以获得未经授权的访问的方式差异很大。观察到关联方利用Microsoft Exchange服务器中存在的ProxyShell漏洞(如CVE-2021-34473、CVE-2021-3 4523和CVE-2021至31207)获取初始访问权限。AvosLocker的附属公司还通过受损的RDP和VPN帐户渗透到受害者的网络中,并利用Zoho ManageEngine ServiceDesk Plus漏洞。原创 2024-05-14 22:01:15 · 634 阅读 · 0 评论 -
勒索软件分析_BlackBasta
该勒索软件会删除所有卷影副本,创建一个新的 JPG 图像集作为桌面壁纸和一个代表加密文件的 ICO 文件。与其他勒索软件系列不同,该恶意软件不会根据扩展名跳过文件。但是,它不会加密会导致系统无法运行的关键文件夹。文件使用 ChaCha20 算法进行加密,密钥和随机数使用示例中硬编码的 RSA 公钥进行加密。恶意软件可以根据文件的大小完全或部分加密文件。勒索软件将加密文件的扩展名更改为.basta。原创 2024-05-21 13:07:17 · 1085 阅读 · 0 评论 -
勒索软件分析_Conti
Conti的行为与大多数勒索软件类似,但它经过精心设计,更加高效且更具规避性。混淆能力提升:自早期的Conti(2019 年末)通过简单的 XOR 机制来隐藏在运行时解析的 API 名称。从2020年6月开始,Conti还采用了字符串混淆的自定义编码函数。运行速度提升:Conti使用多达32个并发CPU线程进行文件加密操作,并且从2020年9月开始Conti将加密算法从AES切换为CHACHA。文件加密优化:2020年9月后,Conti添加了新的文件加密逻辑(部分加密)。原创 2024-05-26 11:54:25 · 919 阅读 · 0 评论 -
勒索软件分析_SamSam
SamSam是一种勒索软件,在初次感染后会“监视”很长时间而不会被发现。SamSam利用漏洞攻击特定组织。勒索软件的创建者在SamSam删除或使受害者无法访问自己的数据后要求赎金。与SamSam打交道的组织主要包括很有可能获得大量资金以换取恢复数据的企业,例如医院和教育机构。SamSam通过对弱密码进行(包括远程桌面协议,RDP)执行暴力破解策略,利用漏洞访问受害者的网络。SamSam勒索软件是一种用于有针对性的攻击的改良感染,通常与各种漏洞利用或暴力破解策略一起使用。原创 2024-05-06 11:30:53 · 884 阅读 · 0 评论