勒索病毒分析

已于 2022-07-20 10:31:04 修改
阅读量966 收藏 3
点赞数 1
分类专栏: 安全 应急响应 文章标签: 安全
于 2022-04-12 18:53:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t102526/article/details/124130797
版权

1.观察情况,判定是否真的中了病毒

当你发现电脑中出现以下不正常情况
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
尝试打开记事本,无法打开,或打开后是乱码,能够确定已经中了勒索病毒
通过桌面背景或特殊文件发现加密关键字

ENCRYPTED BY GANDCRAB 5.0.3等关键字
在这里插入图片描述

2.了解该类勒索病毒

通常各大安全厂商有勒索病毒专区,如国际厂商kaspersky、bitdefender、avast、symantec,国内厂商Sangfor、360等
如Avast的
https://www.avast.com/zh-cn/ransomware-decryption-tools

在这里插入图片描述
在这里插入图片描述
http://edr.sangfor.com.cn/#/information/ransom_search

在这里插入图片描述

3.尝试去寻找不同的厂商的解密工具

在avast页面找到gandcrab的标签
在这里插入图片描述

下载后运行解密工具
在bitdefender寻找解密工具
目前能解密的勒索病毒只是少数,我们更多的是需要加强对勒索病毒的防御。如使用EDR软件进行保护,或加强系统补丁安装。

主流勒索病毒传播都是通过RCE漏洞或弱口令进行自动化攻击,针对这两点做好防御,加强主动防御。可防范勒索病毒。

4.问题与建议

勒索病毒事件经常暴露以下情况:
① 终端存在弱密码,容易被爆破
② 常见高危端口未设置白名单
③ 未及时备份重要文件
针对勒索事件,建议如下:
① 不采用弱密码
② 常见高危端口设置白名单访问
③ 对重要数据进行定期备份
④ 定期更换密码

tlucky1
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
勒索病毒攻击回顾及预防
07-22
勒索病毒
勒索病毒分析报告
w_g3366的博客
09-07 3718
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
WannaCry勒索病毒分析
ZK_1874的博客
10-28 4680
WannaCry勒索病毒分析
Babuk勒索病毒分析
weixin_43781139的博客
11-20 5107
0x00 前言准备 实验环境:win10 分析工具: 火绒剑 IDA7.5 die 0x01 样本基本信息 md5:e10713a4a5f635767dcd54d609bed977 0x02 赎金信息 0x03逆向分析 先用die看一下基本信息 32位,无壳,可以直接拉进ida看 定位到start函数,程序逻辑非常清楚 命令行参数 参数可以传三个,分别如注释种所写,如果没有参数,默认是只本地加密。 终止服务 病毒在启动前会检索一系列服务并进行关闭 重点关注一下有注释的几个API 检索的服务是明文
ThreeAM勒索病毒分析报告
最新发布
02-05
ThreeAM勒索病毒详细分析报告
勒索病毒WannaCry深度技术分析
08-01
勒索病毒,WannaCry,想哭,深度技术分析勒索病毒自从2017年开始全球泛滥,并且愈演愈烈,引起了广泛关注和广大技术爱好者的兴趣。这也给安全厂商带来了挑战。
2023年中国企业勒索病毒攻击态势分析报告
02-01
出了 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究 样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开 深度分析,并首次给出了勒索病毒攻击的...
坏兔子勒索病毒事件基本分析报告.pdf
02-28
2017年10月24日,360CERT监测到有一起名为“坏兔子”(the Bad Rabbit)的勒索病毒正在东欧和俄罗斯地区传播,据悉,目前影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家敖德萨机场,...
流行勒索病毒分析总结
m0_68649618的博客
04-04 941
一、概述 信息安全(Information Security),意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。从层面的概念来看,计算机硬件可以看作是物理层面,软件可以看做是运行层面,然后就是数据层面。从属性的概念来看,破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深,信息安全已是当今众多互联网领域的突出问题之一。 在众多信息安全风险中,居首位者当属网络攻击。无论是公..
DarkSide勒索病毒分析
JiangBuLiu的博客
05-12 1238
DarkSide前情渗透逻辑——信息收集勒索软件分析流程针对需求快速下断点在IDA中还原代码 前情 因为我主要是做APT分析,一般情况是不分析勒索的,而且普通的勒索分析了没太大意义,但是就是这次的美国被动进入紧急状态???? 好家伙,短时间多个国内安全厂商出动,一顿分析发布,被迫内卷,不卷就像报数没到一样 既然被迫分析了,那多少还是有点意义的,就从另一个角度思考一下怎么梳理面对陌生类型的逻辑 渗透逻辑——信息收集 这次分析算是时间紧任务重,这时候埋头深究技术是肯定不行的 其实我以前在15PB培训的时候分析
病毒分析五:勒索病毒分析
liuhaidon1992的博客
12-11 706
一、样本简介 样本是52论坛找到的 样本链接: https://pan.baidu.com/s/1yRlNwHKSa9F-nHhUiO0BCA 提取码: p498 二、现象描述 点开样本后,会弹出一个文本,里面有一串数字,这串数字是加密和解密的关键。然后电脑CPU会飙升到100%,是因为病毒创建了50个加密线程加密文本。 三、样本信息 MD5值:abca8f0299f6b5911143694...
病毒分析三:勒索病毒分析
liuhaidon1992的博客
11-21 1255
一、样本简介 样本是吾爱破解论坛找到的,原网址:https://www.52pojie.cn/thread-1021466-1-1.html, 样本链接: 链接: https://pan.baidu.com/s/1yueeQ91bGfIwnRNmWnKhtg 提取码: de5z 样本ESET检测为Win32/Filecoder.Maoloa.E 特洛伊木马。此类型的病毒会加密文件然后勒索用户。 ...
[病毒分析]某款勒索病毒分析
r250414958的博客
11-01 1970
1.样本概况 1.1 样本信息 1.病毒名称:1.exe 2.文件大小:327680 bytes 3.MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F 4.SHA1: 863F5956863D793298D92610377B705F85FA42B5 5.CRC32: 1386DD7A 病毒行为: 复制自身、傀儡进程、加密指定类型的PE文件、修改注册表自启动、自动关闭任务管...
勒索病毒趋势分析
m0_60571990的博客
11-10 473
勒索病毒趋势分析
GandCrab v2.0 勒索病毒分析
weixin_41487541的博客
04-06 647
1. 原始样本分析 首先对原本样本hmieuy.exe查壳,没有发现壳。 再使用pe工具查看原始样本: 发现EnumResourceNamesA、FindFirstFIleA、MoveFileW、GetProcAddress等函数,同时原本资源节中还含有内容;初步猜测样本可能会搜索资源节中数据并进行某种操作。 1.1 代码分析 IDA打开原始样本hmieuy.exe分析,在wWinMain函数函数入口发现代码混淆: 寻找关键点,发现分配堆空间函数GlobalAlloc函数的调用,
BadRabbit勒索病毒分析报告
houjingyi的博客
11-04 5132
近日一种新型勒索软件BadRabbit给多个东欧国家造成损害,同时影响200多个政府机构和私营企业。截至目前,俄罗斯、保加利亚和土耳其均遭受攻击。已证实的受害者包括乌克兰敖德萨机场、乌克兰基辅地铁系统、乌克兰基础设施部、三个俄罗斯新闻机构。乌克兰CERT团队已发布报告,警告乌克兰企业警惕此次攻击。以下是详细的技术分析病毒采用水坑攻击的方式传播,受害者下载虚假的flash安装更新包并启动后勒索
Sorebrect勒索病毒分析报告
houjingyi的博客
07-28 1840
背景介绍AES-NI是一个x86指令集架构的扩展,用于Intel和AMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用AES执行加密和解密的速度。 如代码所示,将EAX寄存器设置为0之后执行CPUID指令返回的制造商标识存放在EBX,ECX和EDX寄存器中。如果既不是GenuineIntel的处理器也不是AuthenticAMD的处理器则认为该处理器不支持
如何判断是病毒文件和勒索文件
06-03
判断文件是否是病毒文件和勒索文件需要根据具体的情况进行分析,下面是一些常见的判断方法: 1. 使用杀毒软件扫描:杀毒软件可以检测病毒文件和勒索文件,可以使用杀毒软件对文件进行扫描,如果被杀毒软件检测出来,则很有可能是病毒文件或勒索文件。 2. 文件名:病毒文件和勒索文件通常会有一些奇怪或可疑的文件名,比如.exe、.scr、.zip、.rar等,如果文件名比较可疑,可能是病毒文件或勒索文件。 3. 文件大小:病毒文件和勒索文件通常会比正常文件的大小要大一些,因为它们可能会包含一些隐藏的代码或数据。 4. 文件扩展名:勒索文件通常会更改文件的扩展名,比如将.doc、.pdf、.jpg等文件更改为.encrypted、.locked、.crypt等,如果文件扩展名发生了变化,很有可能是勒索文件。 5. 文件内容:病毒文件和勒索文件通常会对文件内容进行加密、修改或删除,如果文件内容发生了变化,可能是病毒文件或勒索文件。 需要注意的是,这些判断方法并不是绝对可靠的,因为病毒勒索软件的制作者会不断地更新和改进它们的技术,以避免被检测和识别。因此,如果您怀疑自己的文件可能是病毒文件或勒索文件,最好立即联系专业的安全人员进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值