一次失败的溯源(中勒索病毒之后)

最新推荐文章于 2024-05-06 15:56:34 发布
最新推荐文章于 2024-05-06 15:56:34 发布
阅读量322 收藏
点赞数
文章标签: java linux python centos 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30817059/article/details/119534761
版权

打开电脑,发现文件都被修改为CC3H


v2-c9368d7c7ace7fef56cb84f72c794adf_b.jpg


各处都有此html 打开之后查看,是勒索病毒 Decryption INFO.html


v2-321d50104156c17ea0e2c91949694c25_b.jpg


进行溯源,首先前一天晚上22:00左右电脑还是没有问题的,查看下文件修改时间,

基本上就是1月7日凌晨1点41:05


v2-399edf8865d9f90358a25072cf80b277_b.jpg


先查看下其他简单的信息,(用户,共享,定时任务等等)

这是共享

其中C,D是默认共享。

admin$是正常的系统共享文件

IPC$也是系统自带

不过我感觉admin账号出了问题。


v2-65e70d072998c3651f6ded787c928236_b.jpg


分析日志,首先查看前一天1:41左右的日志


v2-c23a1bf6df2a517559436c600b53a7d8_b.jpg



v2-ccafe64b4366fec798d66d370da8b0a5_b.jpg


发现大量登录记录,猜测是暴力破解

通过日志找到了对应IP。但是是内网的主机,查看下


v2-9e54ff10f1ac7f4961373abe2344ad64_b.jpg


然后日志中还有

找到这么一款工具,是1:39创建的,通过百度发现这是一款进程查看工具。


v2-a425db4cdc6297e9c839f0d482dbafe7_b.jpg

v2-cdf089156807ea43e9138186bf28cf94_b.jpg


然后因为浏览器可用,我下载了360.360对此病毒并无任何反应。不过它扫描到了这个进程查看工具。以及木马文件


v2-82bbe253def6891725e4b9f593698794_b.jpg



腾讯电脑管家是这么告诉我的


v2-1b65e51f80cc50257167a7a520338097_b.jpg


在腾讯哈勃扫描了一下

v2-ed8c2998008c2d500fb798fab8b07e4c_b.jpg

后面有些内容没有记录,总之,因为电脑上没有重要资料,只有几个虚拟机。所以最后直接重新做了系统。


这个勒索病毒,至少google浏览器还可以正常使用。以及没有后台运行,也就是只运行一次,只加密一次。

SwBack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
溯源勒索病毒
mulincong的博客
05-31 1114
溯源勒索病毒
勒索病毒事件溯源
swordheart的博客
09-28 4550
判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。使用文件搜索工具everything搜索“*.exe”、“*.bat”、“*.vbs”等,按创建时间排序,如下,对于创建时间为加密时间点附近的可疑文件,可取出进行进一步分析,包括勒索病毒、恶意脚本、黑客工具等。
勒索病毒处置流程
最新发布
qq_32390591的博客
05-06 1091
作为安全服务人员,勒索病毒预防和排查一直是重之重,相对于僵木蠕、敏感性信息泄露等威胁事件,勒索病毒会给企业带来直观的经济损失,虽然现在国家已经释放需要保险来兜底,安全厂家也在联合保险公司来为勒索做兜底服务,但是据了解门槛都不低。目前接触过的好像也就比较好入门,只需要购买相关产品和服务就可以投保,不需要复杂的评估和考核。
勒索病毒攻击后,有没有必要做溯源分析?
云盒子企业云盘官方账号,17年专注文档安全
07-05 1471
勒索病毒又火了,黑客凭借对kaseya勒索软件攻击,造成1000家公司受害,这些公司遍布在美国、英国、加拿大、南非等最少17个公家,其瑞典最大的连锁超市COOP超过800家实体店在这次攻击事件关门。 7月3日,美国总统拜登要求情报机构全面调查攻击事件。 近半年以来,勒索软件团队甚是“猖獗”,勒索事件频发,勒索金额屡创新高,攻击也愈发具备针对性。 从勒索病毒感染行业来看,数据价值较高的传统行业、医疗、政府机构遭受攻击较为严重,依次占比为37%、18%、14%,总计占比高达69%。 经过几年
WannaRen勒索病毒溯源新进展 或通过下载站大量传播
进击的龙
04-09 702
最近火绒证实网传WannaRen勒索病毒疑似样本实际为病毒解密工具,并对真实的病毒样本展开溯源分析,随即捕获到其传播脚本(目前已被作者删除)。随后,通过进一步溯源,我们发现国内西西软件园(西西软件园-西西游戏网-多重安全的软件下载基地)一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之...
勒索病毒分析报告
w_g3366的博客
09-07 3823
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
病毒溯源.doc病毒溯源.doc
04-18
病毒溯源分析是指通过研究病毒的来源和传播途径,以确定病毒的起源和传播...总之,病毒溯源分析是一项复杂的工作,需要综合运用多种方法和技术,才能准确地确定病毒的来源和传播途径,为疾病的预防和控制提供科学依据。
勒索病毒应急响应自救手册.docx
05-14
勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且...
2023年国企业勒索病毒攻击态势分析报告
02-01
样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开 深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征, 深入分析了招机构网络安全建设与运营...
PHP魔众一物一码溯源防伪系统 v2.0.0
10-21
2. **溯源信息记录**:通过一物一码技术,系统可以记录商品从生产到销售的每一个环节的信息,包括原材料来源、生产日期、批次、检验报告等,消费者只需扫描二维码即可获取这些详细信息。 3. **数据安全与隐私保护**...
勒索病毒防护解决方案及应急响应专题资料合集.zip
05-11
快速恢复+溯源——CDP技术在抵御勒索病毒的应用 勒索病毒的刨析与防范 勒索病毒立体防护解决方案 勒索病毒应急措施及防护方案 勒索病毒应急响应自救手册(第二版) 勒索软件取证与溯源 如何在勒索病毒和恶意攻击...
勒索病毒攻击回顾及预防
07-22
勒索病毒
防止勒索病毒操作日志
05-24
记录一次内网检查勒索病毒的整个过程,比较详细了,各
Mallox勒索病毒溯源注意
摔不死的笨鸟的博客
12-09 770
Mallox勒索病毒
病毒分析五:勒索病毒分析
liuhaidon1992的博客
12-11 731
一、样本简介 样本是52论坛找到的 样本链接: https://pan.baidu.com/s/1yRlNwHKSa9F-nHhUiO0BCA 提取码: p498 二、现象描述 点开样本后,会弹出一个文本,里面有一串数字,这串数字是加密和解密的关键。然后电脑CPU会飙升到100%,是因为病毒创建了50个加密线程加密文本。 三、样本信息 MD5值:abca8f0299f6b5911143694...
恶意软件分析——Tesla勒索病毒分析
摔不死的笨鸟的博客
09-06 1044
目录 概述… 2 样本信息… 2 样本行为… 2 流程图… 4 技术细节详细分析… 5 静态分析… 5 线程一:结束指定进程… 8 线程二:删除卷影副本… 8 线程三:网络连接服务器… 9 线程四:遍历文件并实施加密… 9 动态分析… 11 样本溯源… 12(略) 查杀·防御技术方案… 13 总结… 14 FileName FileType FileSize MD5 tfukrc....
流行勒索病毒分析总结
m0_68649618的博客
04-04 962
一、概述 信息安全(Information Security),意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。从层面的概念来看,计算机硬件可以看作是物理层面,软件可以看做是运行层面,然后就是数据层面。从属性的概念来看,破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深,信息安全已是当今众多互联网领域的突出问题之一。 在众多信息安全风险,居首位者当属网络攻击。无论是公..
内网威胁感知与攻击溯源系统
10-18 881
一、现状与问题 随着《网络安全法》正式成为法律法规,等级保护系列政策更新,“安全” 对于大部分企业来说已成为“强制项”。然而,网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发,...
RSA加密/解密 Decryption error异常解决
热门推荐
雪落夜的专栏
01-15 8万+
RSA加密/解密 Decryption error异常解决import
linux web服务器应急响应靶场
01-25
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场的训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SwBack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值