勒索病毒分析

已于 2022-07-20 10:31:04 修改
阅读量1k 收藏 3
点赞数 1
分类专栏: 安全 应急响应 文章标签: 安全
于 2022-04-12 18:53:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t102526/article/details/124130797
版权

1.观察情况,判定是否真的中了病毒

当你发现电脑中出现以下不正常情况
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
尝试打开记事本,无法打开,或打开后是乱码,能够确定已经中了勒索病毒
通过桌面背景或特殊文件发现加密关键字

ENCRYPTED BY GANDCRAB 5.0.3等关键字
在这里插入图片描述

2.了解该类勒索病毒

通常各大安全厂商有勒索病毒专区,如国际厂商kaspersky、bitdefender、avast、symantec,国内厂商Sangfor、360等
如Avast的
https://www.avast.com/zh-cn/ransomware-decryption-tools

在这里插入图片描述
在这里插入图片描述
http://edr.sangfor.com.cn/#/information/ransom_search

在这里插入图片描述

3.尝试去寻找不同的厂商的解密工具

在avast页面找到gandcrab的标签
在这里插入图片描述

下载后运行解密工具
在bitdefender寻找解密工具
目前能解密的勒索病毒只是少数,我们更多的是需要加强对勒索病毒的防御。如使用EDR软件进行保护,或加强系统补丁安装。

主流勒索病毒传播都是通过RCE漏洞或弱口令进行自动化攻击,针对这两点做好防御,加强主动防御。可防范勒索病毒。

4.问题与建议

勒索病毒事件经常暴露以下情况:
① 终端存在弱密码,容易被爆破
② 常见高危端口未设置白名单
③ 未及时备份重要文件
针对勒索事件,建议如下:
① 不采用弱密码
② 常见高危端口设置白名单访问
③ 对重要数据进行定期备份
④ 定期更换密码

[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8759
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
《小白学分析》某勒索病毒分析报告
weixin_43742894的博客
06-04 490
0x00 样本信息 样本名称:eef83497e8aa02d644b7d071be81a678e1611aa6 MD5:5853957178FE89022855A530A4B0AA20 SHA-1:60AF429E4AFF32E49405DF04710F41757D30F4F0 创建时间:星期一 01 七月 2019, 13.55.28 壳:UPX 0x01 测试环境及工具 环境: Windows 7 x86 工具: OD,IDA,PEiD,火绒剑。 0x02 样本行为 样本运行后,首先调用一些启动函数,获
DarkSide勒索病毒分析
JiangBuLiu的博客
05-12 1386
DarkSide前情渗透逻辑——信息收集勒索软件分析流程针对需求快速下断点在IDA中还原代码 前情 因为我主要是做APT分析,一般情况是不分析勒索的,而且普通的勒索分析了没太大意义,但是就是这次的美国被动进入紧急状态???? 好家伙,短时间多个国内安全厂商出动,一顿分析发布,被迫内卷,不卷就像报数没到一样 既然被迫分析了,那多少还是有点意义的,就从另一个角度思考一下怎么梳理面对陌生类型的逻辑 渗透逻辑——信息收集 这次分析算是时间紧任务重,这时候埋头深究技术是肯定不行的 其实我以前在15PB培训的时候分析
勒索病毒分析报告
w_g3366的博客
09-07 4204
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
应急响应:勒索病毒-实战 案例一.【Windows 系统-排查和解密】
最新发布
网络安全领域___专研者.
08-17 1601
勒索病毒是一种恶意软件,它通过加密用户的数据或锁定用户设备,然后要求用户支付赎金以解锁数据或系统。勒索病毒的入侵方式多样,包括网络共享文件、捆绑传播、垃圾邮件、水坑攻击、软件供应链传播、暴力破解、利用已知漏洞攻击和利用高危端口攻击等。
WannaCry勒索病毒分析
ZK_1874的博客
10-28 5070
WannaCry勒索病毒分析
Babuk勒索病毒分析
weixin_43781139的博客
11-20 5263
0x00 前言准备 实验环境:win10 分析工具: 火绒剑 IDA7.5 die 0x01 样本基本信息 md5:e10713a4a5f635767dcd54d609bed977 0x02 赎金信息 0x03逆向分析 先用die看一下基本信息 32位,无壳,可以直接拉进ida看 定位到start函数,程序逻辑非常清楚 命令行参数 参数可以传三个,分别如注释种所写,如果没有参数,默认是只本地加密。 终止服务 病毒在启动前会检索一系列服务并进行关闭 重点关注一下有注释的几个API 检索的服务是明文
ThreeAM勒索病毒分析报告
02-05
### ThreeAM勒索病毒分析报告 #### 重要发现与概览 本报告旨在全面解析ThreeAM勒索病毒的特征、传播机制以及防范措施。通过对该病毒进行深入的技术分析,我们揭示了其攻击策略、基础设施利用方式及受害者的分布...
流行勒索病毒分析总结
m0_68649618的博客
04-04 1031
一、概述 信息安全(Information Security),意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。从层面的概念来看,计算机硬件可以看作是物理层面,软件可以看做是运行层面,然后就是数据层面。从属性的概念来看,破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深,信息安全已是当今众多互联网领域的突出问题之一。 在众多信息安全风险中,居首位者当属网络攻击。无论是公..
病毒分析五:勒索病毒分析
liuhaidon1992的博客
12-11 790
一、样本简介 样本是52论坛找到的 样本链接: https://pan.baidu.com/s/1yRlNwHKSa9F-nHhUiO0BCA 提取码: p498 二、现象描述 点开样本后,会弹出一个文本,里面有一串数字,这串数字是加密和解密的关键。然后电脑CPU会飙升到100%,是因为病毒创建了50个加密线程加密文本。 三、样本信息 MD5值:abca8f0299f6b5911143694...
病毒分析三:勒索病毒分析
liuhaidon1992的博客
11-21 1385
一、样本简介 样本是吾爱破解论坛找到的,原网址:https://www.52pojie.cn/thread-1021466-1-1.html, 样本链接: 链接: https://pan.baidu.com/s/1yueeQ91bGfIwnRNmWnKhtg 提取码: de5z 样本ESET检测为Win32/Filecoder.Maoloa.E 特洛伊木马。此类型的病毒会加密文件然后勒索用户。 ...
[病毒分析]某款勒索病毒分析
r250414958的博客
11-01 2013
1.样本概况 1.1 样本信息 1.病毒名称:1.exe 2.文件大小:327680 bytes 3.MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F 4.SHA1: 863F5956863D793298D92610377B705F85FA42B5 5.CRC32: 1386DD7A 病毒行为: 复制自身、傀儡进程、加密指定类型的PE文件、修改注册表自启动、自动关闭任务管...
勒索病毒趋势分析
m0_60571990的博客
11-10 505
勒索病毒趋势分析
GandCrab v2.0 勒索病毒分析
weixin_41487541的博客
04-06 772
1. 原始样本分析 首先对原本样本hmieuy.exe查壳,没有发现壳。 再使用pe工具查看原始样本: 发现EnumResourceNamesA、FindFirstFIleA、MoveFileW、GetProcAddress等函数,同时原本资源节中还含有内容;初步猜测样本可能会搜索资源节中数据并进行某种操作。 1.1 代码分析 IDA打开原始样本hmieuy.exe分析,在wWinMain函数函数入口发现代码混淆: 寻找关键点,发现分配堆空间函数GlobalAlloc函数的调用,
BadRabbit勒索病毒分析报告
houjingyi的博客
11-04 5254
近日一种新型勒索软件BadRabbit给多个东欧国家造成损害,同时影响200多个政府机构和私营企业。截至目前,俄罗斯、保加利亚和土耳其均遭受攻击。已证实的受害者包括乌克兰敖德萨机场、乌克兰基辅地铁系统、乌克兰基础设施部、三个俄罗斯新闻机构。乌克兰CERT团队已发布报告,警告乌克兰企业警惕此次攻击。以下是详细的技术分析病毒采用水坑攻击的方式传播,受害者下载虚假的flash安装更新包并启动后勒索
Sorebrect勒索病毒分析报告
houjingyi的博客
07-28 1910
背景介绍AES-NI是一个x86指令集架构的扩展,用于Intel和AMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用AES执行加密和解密的速度。 如代码所示,将EAX寄存器设置为0之后执行CPUID指令返回的制造商标识存放在EBX,ECX和EDX寄存器中。如果既不是GenuineIntel的处理器也不是AuthenticAMD的处理器则认为该处理器不支持
菜鸟之路---2,简单的勒索病毒分析
u012871930的博客
02-27 2141
样本链接:https://pan.baidu.com/s/1mje8FMw 密码:wzxv1.样本概况1.1 样本信息MD5值:MD5: DBD5BEDE15DE51F6E5718B2CA470FC3FSHA1:863F5956863D793298D92610377B705F85FA42B5CRC32: 1386DD7A病毒行为:自我复制,文件加密,释放文件。1.2 测试环境及工具测试环境:Win...
IT必备:勒索病毒安全防护权威指南
6. 案例研究:通过具体案例分析,提供现实世界中的勒索病毒攻击案例,以及它们是如何被解决的。 文件名称列表中提到的“勒索病毒权威安全防护手册[***美河学习在线].pdf”,意味着这份手册可以通过美河学习在线平台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值