应急响应-勒索病毒

程序员小肖

于 2025-03-17 20:02:45 发布

阅读量766

点赞数 18

文章标签：网络服务器数据库笔记 php

本文链接：https://blog.csdn.net/qq_53058639/article/details/146324348

版权

应急响应-勒索病毒

什么是勒索病毒

一种新型电脑病毒，主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。2019年末，勒索已然呈现出"双重勒索"的趋势，即先窃取商业数据，然后实施勒索，如果未能在规定时间内支付赎金，将于网上（通常是暗网）公开售卖企业的商业数据。

勒索病毒的表现

\1. 系统瞬时CPU占用高，接近100%，这个现象主要是在批量加密文件。
\2. 所有应用都被无法使用和打开。
\3. 系统应用文档被加密无法修改。
\4. 文件后缀被修改并留下勒索信。
\5. 桌面主题被修改。

勒索病毒分类

\1. LockBit：LockBit于2019年9月首次以 ABCD勒索软件的形式出现，2021年发布2.0版本，相比第一代，LockBit 2.0号称是世界上最快的加密软件，加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型，并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力（加密和窃取数据），据作者介绍和情报显示LockBi3.0版本已经诞生，并且成功地勒索了很多企业。
\2. Gandcrab/Sodinokibi/REvil：REvil勒索软件操作，又名Sodinokibi，是一家臭名昭著的勒索软件即服务 (RaaS) 运营商，可能位于独联体国家（假装不是老毛子）。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现，并且是暗网上最多产的勒索软件之一，其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。（2021年暂停止运营，抓了一部分散播者）。
\3. Dharma/CrySiS/Phobos：Dharma勒索软件最早在 2016 年初被发现，其传播方式主要为 RDP 暴力破解和钓鱼邮件，经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有许多相似之处，故怀疑这几款勒索软件的作者可能是同一组织。
\4. Globelmposter（十二生肖）：Globelmposter又名十二生肖，十二主神，十二…他于2017年开始活跃，2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分，比如国内最常见的一个攻击者邮箱为China.Helper@aol.com
\5. WannaRen（已公开私钥）：WannaRen勒索家族的攻击报道最早于2020年4月，通过下载站进行传播，最终在受害者主机上运行，并加密几乎所有文件；同时屏幕会显示带有勒索信息的窗口，要求受害者支付赎金，但WannaRen始终未获得其要求的赎金金额，并于几天后公开密钥。
\6. Conti：Conti勒索家族的攻击最早追踪到2019年，作为"勒索软件即服务（RaaS）"，其幕后运营团伙管理着恶意软件和Tor站点，然后通过招募合作伙伴执行网络漏洞和加密设备。在近期，因为分赃不均，合作伙伴多次反水，直接爆料攻击工具、教学视频、以及部分源代码。
\7. WannaCry：WannaCry（又叫Wanna Decryptor），一种"蠕虫式"的勒索病毒软件，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞"EternalBlue"（永恒之蓝）进行传播，WannaCry的出现也为勒索病毒开启了新的篇章。
\8. 其他家族

分析定性勒索病毒

人工分析

以WannaCry为例，我们来看它有那些特征

\1. 通过加密格式来判断

文件后缀为wncry

\2. 通过桌面的形式来判断

桌面修改如上

\3. 通过勒索者的邮箱来判断家族

这边没有留下邮箱，故而没有进行展示

\4. 通过勒索者留下的勒索信为例

平台分析

安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士

勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家

https://lesuo.venuseye.com.cn/

勒索病毒搜索

腾讯哈勃分析系统

统一端点安全管理系统aES(终端检测响应EDR)-深信服

应急处置

分析家族样本

在熟悉逆向的情况下可以对恶意文件进行逆向分析

判断是否存在解密手段

\1. 通过各大搜索引擎搜索解密方式，存在解密方式的话就直接进行解密

通过一个Satan（撒旦）勒索病毒来演示可以解密的情况

勒索信

邮箱地址

加密格式为dbger

通过安全公司提供的解密软件可以成功解密

奇安信解密工具成功解密

\2. 不存在解密方式的话寻求解密公司或者安全公司
\3. 重装系统

处置封锁攻击入口

通过上一节的知识，我们可以通过本机资产梳理判断存在那些服务存在被攻击的可能性，从而来锁定攻击的入口点，比如说WannaCry刚出现的时候是通过永恒之蓝大批量勒索，我们可以根据这些勒索病毒出现的特征点来锁定入口点，当然这并不是绝对的，也可能通过RDP爆破口令进入，要根据具体情况分析。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。