应急响应-勒索病毒的处理思路

告白热

已于 2023-08-06 20:28:41 修改

阅读量603

点赞数

分类专栏：应急响应文章标签：网络

于 2023-08-06 20:27:56 首次发布

本文链接：https://blog.csdn.net/qq_53577336/article/details/132134954

版权

应急响应专栏收录该内容

10 篇文章 2 订阅

订阅专栏

0x00 关于勒索病毒的描述

勒索病毒入侵方式：服务弱口令，未授权，邮件钓鱼，程序木马植入，系统漏洞等
勒索病毒的危害：主机文件被加密，且几乎难以解密，对主机上的文件信息以及重要资产存在被贩卖等
勒索病毒现象：cpu占用率高，文件等应用均无法打开，打开乱码，大多数勒索windows将为常见

0x01 现常见勒索病毒家族

4、勒索病毒常见家族及确定？
（1）LockBit：

LockBit于 2019 年 9 月首次以 ABCD勒索软件的形式出现，2021年发布2.0版本，相比第一代，LockBit
2.0号称是世界上最快的加密软件，加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务
(RaaS)模型，并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力（加密和窃取数据），据作者介绍和情报显示LockBi3.0版本已经诞生，并且成功地勒索了很多企业。

（2）Gandcrab/Sodinokibi/REvil：

REvil勒索软件操作，又名Sodinokibi，是一家臭名昭著的勒索软件即服务 (RaaS)
运营商，可能位于独联体国家（假装不是老毛子）。它于 2019 年作为现已解散的 GandCrab
勒索软件的继任者出现，并且是暗网上最多产的勒索软件之一，其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。（2021年暂停止运营，抓了一部分散播者）。

（3）Dharma/CrySiS/Phobos：

Dharma勒索软件最早在 2016 年初被发现，其传播方式主要为 RDP 暴力破解和钓鱼邮件，经研究发现
Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有许多相似之处，故怀疑这几款勒索软件的作者可能是同一组织。

（4）Globelmposter（十二生肖）：

Globelmposter又名十二生肖，十二主神，十二…他于2017年开始活跃，2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分，比如国内最常见的一个攻击者邮箱为China.Helper@aol.com

（5）WannaRen（已公开私钥）：

WannaRen勒索家族的攻击报道最早于2020年4月，通过下载站进行传播，最终在受害者主机上运行，并加密几乎所有文件；同时屏幕会显示带有勒索信息的窗口，要求受害者支付赎金，但WannaRen始终未获得其要求的赎金金额，并于几天后公开密钥。

（6）Conti：

Conti勒索家族的攻击最早追踪到2019年，作为“勒索软件即服务（RaaS）”，其幕后运营团伙管理着恶意软件和Tor站点，然后通过招募合作伙伴执行网络漏洞和加密设备。在近期，因为分赃不均，合作伙伴多次反水，直接爆料攻击工具、教学视频、以及部分源代码。

（7）WannaCry：

WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，由不法分子利用NSA（National
Security
Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播，WannaCry的出现也为勒索病毒开启了新的篇章。

0x03 解决方案

1.判断勒索家族种类，一般被加密后加密文档都存在一定的后缀，可以将改后缀上传到国内的勒索病毒平台分析，会给出相关的样本家族，以及少部分会提供有解密方案，但是大多数情况下难以解决
相关平台：

360：http://lesuobingdu.360.cn
腾讯：https://guanjia.qq.com/pr/ls
启明：https://lesuo.venuseye.com.cn
奇安信：https://lesuobingdu.qianxin.com
深信服：https://edr.sangfor.com.cn/#/information/ransom_search

2.利用平台给出的解决工具尝试解密被加密的文件，大多数情况难以解决，利用现有的解密平台以及工具尝试解密

腾讯哈勃：https://habo.qq.com/tool
金山毒霸：http://www.duba.net/dbt/wannacry.html
火绒：http://bbs.huorong.cn/forum-55-1.html
瑞星：http://it.rising.com.cn/fanglesuo/index.html
Nomoreransom：https://www.nomoreransom.org/zh/index.html
MalwareHunterTeam：https://id-ransomware.malwarehunterteam.com
卡巴斯基：https://noransom.kaspersky.com
Avast：https://www.avast.com/zh-cn/ransomware-decryption-tools
Emsisoft：https://www.emsisoft.com/ransomware-decryption-tools/free-download
Github勒索病毒解密工具收集汇总：https://github.com/jiansiting/Decryption-Tools

3.在公开的网络上，github，其他盈利渠道搜索是否有解密方案，否则将支付赎金，在主机服务器没有很大的价值下，可以重置服务器等
在遭受到勒索下，网络上现有的解密方案工具都可以尝试。

在后期一定加强安全防范意识，在遭遇勒索后第一时间需要将该受害主机单独隔离，防止病毒横向移动造成更大的损失。再去做溯源，攻击复现等，比起解密被勒索的文件，理清攻击者的攻击路径最为重要，以便下次将危害防范为未然。

告白热

关注

0
点赞
踩
5

收藏

觉得还不错? 一键收藏
打赏
0
评论
应急响应-勒索病毒的处理思路

再去做溯源，攻击复现等，比起解密被勒索的文件，理清攻击者的攻击路径最为重要，以便下次将危害防范为未然。1.判断勒索家族种类，一般被加密后加密文档都存在一定的后缀，可以将改后缀上传到国内的勒索病毒平台分析，会给出相关的样本家族，以及少部分会提供有解密方案，但是大多数情况下难以解决。3.在公开的网络上，github，其他盈利渠道搜索是否有解密方案，否则将支付赎金，在主机服务器没有很大的价值下，可以重置服务器等。REvil勒索软件操作，又名Sodinokibi，是一家臭名昭著的勒索软件即服务 (RaaS)
复制链接

扫一扫