记一次勒索病毒排查

已于 2024-04-19 13:27:07 修改
阅读量1.4k 收藏 12
点赞数 29
文章标签: 网络
于 2024-04-18 23:20:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50833693/article/details/137937177
版权

一、事件的描述

接到业务部门人员反馈,服务器A无法传输业务数据,除维持系统正常运行文件外,所有数据均被加密,文件名为demo.pmq.[74AC1A88].[hudsonL@cock.li].mkp。

因着急恢复业务,且之前有备份数据,服务器A被格式化,重装系统;摸排同网段服务器,发现同样遭受勒索病毒的服务器B。并且在回收站发现攻击者的作案工具。

通过查看安全设备,发现在凌晨1点左右服务器B遭受大量RDP爆破攻击,源地址为个人终端C。

排查个人终端C时,发现已无法正常登录操作系统,使用启动盘进入PE界面后,同样被投放勒索病毒,安装everything工具后,对攻击时间被修改的文件进行查看,因可查看信息过少,无法判断具体的攻击路径。

回收站未被清除的作案工具
序号工具名称备注
1dfControl.exeDefender Control(防御控制者)用于关闭Windows系统自带的Microsoft Defender
2GMER.exeGMER是一款来自波兰的多功能安全监控分析应用软件。它能查看隐藏的进程服务,驱动, 还能检查Rootkit,启动项,并且具有内置命令行和注册表编辑器。
3mkp_visual.exeMakop勒索病毒
4netpass.exeNetwork Password Recovery(系统管理员密码查看器)是一款功能强大的系统管理员密码密码找回软件,如果忘记了电脑系统管理员密码时,通过这款软件既可以帮助你轻松找回,让你能够继续使用电脑。
5netpass64.exe
6PCHunter32.exePCHunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。黑客也有可能使用这个工具,原因仍然是想在执行勒索病毒前,先把本地保护机制破坏掉,防止加密过程被中断。
7PCHunter64.exe
8processhacker-2.10-setup.exeProcess Hacker是一款针对高级用户的安全分析工具,它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。黑客在执行勒索病毒前,先把本地保护机制破坏掉,防止加密过程被中断。
9processhacker-2.39-setup.exe

二、排查的思路

  • 判断勒索病毒的类型

       https://lesuobingdu.360.cn/

       https://www.nomoreransom.org/zh/index.html

  • 结合现有信息排查攻击特征

        1、Makop勒索病毒,360安全卫士勒索专题查询到记录为2020年2月28日

        2、主要的传播方式有两种:暴力破解远程桌面口令成功后手动投毒、钓鱼邮件

        3、从安全设备上进行全流量分析,查看关键的时间节点

        4、使用everything查找失陷主机上,未被攻击者删除的日志信息

        5、获取到可疑应用程序,可上传到安全情报网站研判。如:

               微步在线:https://x.threatbook.com/                 

               360安全: https://ata.360.net/

               VirScan:  https://www.virsacn.com/

               安恒信息:https://ti.dbappsecurity.com.cn/

               VIRUSTOTAL:https://www.virustotal.com/gui/home/upload

三、引用部分技术参考

       https://www.freebuf.com/articles/system/219837.html

C123号线
关注
勒索病毒应急响应流程】
王明的博客
08-22 768
不同应急事件响应方式不同,建议大家阅读以下案例,解决自己当前的困扰,当然也可以根据自己的经验对文章进行补充和修正,欢迎在评论区留言。某安服团队接到某政府部门的远程应急响应求助,要求对被勒索服务器进行排查分析并溯源。某安服团队接到制造业某客户应急响应求助,公司财务服务器感染勒索病毒,所有文件被加密,客户希望对受害服务器进行排查,溯源入侵途径。
网络安全从入门到精通(特别篇VIII):应急响应之勒索病毒处置流程
HACKONE的博客
02-10 610
勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索病毒无法通过技术手段进行解密 必须拿到对应的解密密钥才有可能无损的还原被加密的文件
map勒索病毒解密,勒索病毒修复
瓦罗兰特顶级C位的博客
01-31 1749
Mkp 是Makop 勒索软件的新变种。它通过加密数据(锁定文件)并要求支付解密费用来运作。
基于DNS日志分析,勒索病毒和远程控制病毒排查方法
xudxy的专栏
06-15 4744
 由于公司受到勒索病毒及一些远程控制病毒攻击,在杀毒软件不能正常查杀的情况下怎样知道全网有多少用户受到威胁,通过行业一些专业机构给出的处理方法,经验证,通过DNS日志分析是一个很好的排查手段,下面对本次排查过程进行分析,希望可以帮助到大家。           1.勒索病毒和远程控制病毒特征分析               通过网上收集,勒索病毒和远程控制病毒运行会访问特定域名,仅作为示例:   ...
安全知识-勒索病毒防护方案
最新发布
dzqxwzoe的博客
03-01 1122
(一) 什么是勒索病毒勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key 文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数日也会随着时间的推移而上涨。
入侵排查篇---勒索病毒自救指南
永不垂头的博客
01-26 3997
入侵排查篇—勒索病毒自救指南 文章目录入侵排查篇---勒索病毒自救指南前言一、勒索病毒搜索引擎二、勒索工具解密工具集我的公众号 前言 经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗? 第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发 现所有的脚本文件及附件后名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特 征。 出于职业习惯,我打包了部分加密文件样本和勒索病毒提示信息用于留档,就在今天,我又重新上传了样本,至今依然
勒索病毒排查
weixin_43977912的博客
02-24 731
勒索病毒搜索引擎 360:http://lesuobingdu.360.cn 腾讯:https://guanjia.qq.com/pr/ls 启明:https://lesuo.venuseye.com.cn 奇安信:https://lesuobingdu.qianxin.com 深信服:https://edr.sangfor.com.cn/#/information/ransom_search 勒索软件解密工具集 腾讯哈勃:https://habo.qq.com/tool 金山毒霸:http://www.d
防止勒索病毒操作日志
05-24
一次内网检查勒索病毒的整个过程,比较详细了,各
勒索病毒处置经验分享
NewTyun的博客
12-10 2012
新钛云服已为您服务907天近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重安全问题。该情况...
【应急响应】Windows应急响应手册(勒索病毒篇)
李火火的安全圈
07-19 370
本篇内容围绕勒索病毒事件进行分析,通过使用技术手段来确定勒索病毒家族并寻找解密方法,实战中过程中可参考文中部分内容提供一些帮助!
搬砖中招勒索病毒,自我拯救电脑系统经历
SH_fengran123的博客
04-12 552
创作立场声明:本文所有物品均为自费购入,所码字为个人分享,观点拙笨在所难免,欢迎拍砖。 【写作说明】:对网络安全了解有限,搬砖过程中被勒索病毒命中,放弃谈判,录下清理电脑重新开始的历程 1.问题出现 因为经常加班搬砖,经常到家后需要登录工作机(如何上车Teamviewer前面的帖子有交待)。2021.03.02晚上还像往常一样,用Teamviewer在家登录远程,突然发现一台机器连不上,一台机器连上去之后显示分辨率严重下降,卡顿的不行。 我的两台机器装的软件差不多,主要也是防止大软件跑飞相互备份的
应急响应——Windows / Linux 排查
未完成的歌~的博客
01-08 793
SSH 登录尝试的日志一般保存在 /var/log/auth.log (Ubuntu/Debian) 或 /var/log/secure (CentOS/RHEL) 文件中。通过这条Web访问日志,我们可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器的情况下访问了 你网站的哪个页面,是否访问成功。默认编写的 crontab 文件会保存在 (/var/spool/cron/用户名,例如:/var/spool/cron/root)如果某个 IP 的失败尝试次数特别多,可能是在进行暴力破解。
Makop勒索病毒
a5854129的博客
03-07 808
Makop勒索病毒是最新的恶意软件,目前正在流行。它指示用户/受害者通过 P2P 即时消息协议 Tox 联系恶意软件作者。该恶意软件加密每个文件夹中的所有文件,并为每个文件添加扩展名 .makop。加密文件的格式为“Original_name_of_the_file.Original_extension_of_file.[与文件关联的唯一/随机 ID].[.].makop”。它还将名为“readme-warning.txt”的勒索字条放入每个受感染的文件夹和桌面。它在名称或路径中跳过了一些文件夹,如 Win
勒索病毒事件溯源
swordheart的博客
09-28 5544
判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。使用文件搜索工具everything搜索“*.exe”、“*.bat”、“*.vbs”等,按创建时间排序,如下,对于创建时间为加密时间点附近的可疑文件,可取出进行进一步分析,包括勒索病毒、恶意脚本、黑客工具等。
应急响应:勒索病毒-实战 案例一.【Windows 系统-排查和解密】
网络安全领域___专研者.
08-17 2840
勒索病毒是一种恶意软件,它通过加密用户的数据或锁定用户设备,然后要求用户支付赎金以解锁数据或系统。勒索病毒的入侵方式多样,包括网络共享文件、捆绑传播、垃圾邮件、水坑攻击、软件供应链传播、暴力破解、利用已知漏洞攻击和利用高危端口攻击等。
勒索病毒分析报告
w_g3366的博客
09-07 4414
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
勒索病毒
02-28 1828
文章目录0x01 样本概况样本信息测试环境及工具分析目标0x02 行为分析0x03 从混淆代码中提取恶意代码申请内存创建进程0x04 分析流程提权函数 0x01 样本概况 样本信息 大小: 327680 bytes 修改时间: 2017年4月13日, 15:30:22 MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1: 863F5956863D793298D92...
linux系统下病毒排除思路
03-12 428
1、top查看是否有特别吃cpu和内存的进程,病毒进程kill是杀不死的,因为ps命令被修改 2、ls -la/proc/病毒进程pid/ pwd为病毒进程程序目录 一般在/usr/bin下 3、/bin/ps,/bin/netsta程序都是1.2M的大小,显然被人掉包 ps 改成了ips 4、进入/usr/bin下 ls -lart 查看最近被修改的程序 .25uni...
勒索病毒简介
weixin_44295677的博客
05-30 1596
勒索病的的简介,排查方法和解决方案
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值