2019年5月最新勒索病毒样本分析及数据恢复

最新推荐文章于 2024-07-26 09:51:22 发布
最新推荐文章于 2024-07-26 09:51:22 发布
阅读量4.4k 收藏
点赞数
文章标签: 移动开发 java 数据库
原文链接:http://blog.51cto.com/14282593/2398710
版权

1、GANDCRAB病毒
病毒版本:GANDCRAB V5.2
中毒特征:<原文件名>.随机字符串
勒索信息:随机字符串-MANUAL.txt
特征示例: readme.txt.pfdjjafw
2019年5月最新勒索病毒样本分析及数据恢复

2、GlobeImposter 3.0病毒(十二×××病毒)
中毒特征:<原文件名>.XXXX4444
勒索信息:HOW_TO_BACK_FILES.txt how_to_back_files.htm
特征示例: readme.txt.Monkey4444
后缀收集:
.China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444.Rooster4444 .Dog4444 .all4444 .Pig4444 .Alco4444 .Rat4444 .Skunk4444等
2019年5月最新勒索病毒样本分析及数据恢复

3、Globelmposterb 5.0病毒
中毒特征:<原文件名>.{邮箱}特征字符
勒索信息:how_to_back_files.htm .rtf后缀文件

特征示例:ReadMe.txt.{Benjamin_Jack2811@aol.com}AOL

后缀收集:

.{Benjamin_Jack2811@aol.com}AOL

.{mattpear@protonmail.com}MTP

.{mrgrayhorse@protonmail.com}MGH

.{CALLMEGOAT@protonmail.com}CMG

.{MOLLYGREENS@PROTONMAIL.COM}MG

.{Killback@protonmail.com}KBK

PedantBack@protonmail.com

.{supportbest@protonmail.com}BET

.{killbillkill@protonmail.com}VC

2019年5月最新勒索病毒样本分析及数据恢复

4、Crysis(Dharma)病毒

中毒特征:<原文件名>.ID-<随机8位字符串>.<邮件地址>.特征后缀

勒索信息:FILES ENCRYPTED.txt data files encrypted.txt info.hta

特征示例:readme.txt.ID-16E86DC7.[writehere@qq.com].btc

readme.txt.id-F06E54C7.[decryptmyfiles@qq.com].ETH

后缀收集:

.ETH .btc .adobe .bkpx .tron .bgtx .combo .gamma .block .bip .arrow
.cesar

.[unblock@badfail.info].bat

.[Mailpayment@decoding.biz].bat

.arenabtc@fros.cc

zikr@protonmail.com

zikr@usa.com

decryptmyfiles@qq.com

bebenrowan@aol.com

MailPayment@decoder.com

helpfilerestore@india.com

decryptmyfiles@qq.com

decryptprof@qq.com

1701222381@qq.com

btccrypthelp@cock.li

.[writehere@qq.com].btc

[unlock@cock.li].x3m

2019年5月最新勒索病毒样本分析及数据恢复

5、.scaletto后缀病毒

中毒特征:<原文件名>.scaletto

勒索信息:how_to_open_files.html

特征示例:readme.txt.scaletto

勒索邮箱:scaletto@protonmail.com

2019年5月最新勒索病毒样本分析及数据恢复

6、.Coockish后缀勒索病毒

勒索文件示例:readme.txt.Coockish

勒索文件:how_to_back_files.html

勒索邮箱:Coockish@protonmail.com fuckish@cock.li

2019年5月最新勒索病毒样本分析及数据恢复

7、ITLOCK 病毒

中毒特征:[邮箱].字符-字符.ITLOCK

勒索信息:!README_ITLOCK!

特征示例:[rescompany19@qq.com].63Nv1K7q-xCeWZJaH.ITLOCK

特征后缀收集:.ITLOCK

rescompany19@qq.com

rescompany19@yahoo.com

rescompany19@cock.li

2019年5月最新勒索病毒样本分析及数据恢复

8、.firex3m后缀勒索病毒

勒索文件示例:325248.jpg.id-3261642625_[Icanhelp@cock.li].firex3m

后缀特征:.firex3m

勒索文件:!!! DECRYPT MY FILES !!!.txt

勒索邮箱: Icanhelp@cock.li helpme1@cock.li

2019年5月最新勒索病毒样本分析及数据恢复

9、.JURASIK后缀勒索病毒

勒索文件示例:readme.txt.[ID-599947564][jurasik@cock.li].JURASIK

勒索文件:JURASIK-DECRYPT.txt

勒索邮箱:jurasik@cock.li

2019年5月最新勒索病毒样本分析及数据恢复

10、.phobos后缀勒索病毒

病毒特征:{原文件名}.id[随机字符].[邮箱].phobos

勒索邮箱:

[grunresrife1985@aol.com].phobos

[anticetpt@countermail.com].phobos

.[sigvard.polson@aol.com].phobos 等

病毒防范:
1、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播。
2、JBoss、Tomcat、Weblogic、Apache Struts2等服务器组件即时安装安全补丁,更新到最新版本。
3、服务器、Tomcat等登录避免使用弱密码,建议使用“大写字母+小写字母+数字+符号”8位以上密码。
4、重要事情说三遍:异地备份!异地备份!异地备份!

转载于:https://blog.51cto.com/14282593/2398710

weixin_33827731
关注
[样本分析] TelsaCrypt勒索病毒
qq_42814021的博客
01-21 3841
文章目录样本信息样本行为详细分析线程1线程2六个功能函数线程3 样本信息 MD5:72CCC18F3038E19273010D45AC2142CE 样本类型:exe32 分析工具:DIE、OD、IDA 样本行为 详细分析 拿到样本后,老规矩,先拖到DIE中看一下,32位的exe,C/C++写的,无壳。可以直接用IDA和OD开始分析样本在WinMain函数中首先进行反沙箱检测,通过检测音频设备是否存在或API是否可用。然后做一系列的准备工作,其中比较重要的就是解密并释放数据。然后进行自拷贝,将自身拷贝到
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8661
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
Petya勒索病毒(2016.4样本)分析笔记
r250414958的博客
11-28 4354
前言 之所以不叫分析报告,是因为接下来要看到的分析,可能包含了不正确的,或者有疑点,和未完全分析的,里面有我个人的主观臆断,或者一些我目前未察觉的错误,还有一些非常基础,非常啰嗦的内容,这都是为了复习我以前的一些知识,或者是做一个记录防止以后可能需要用到。还有一些可能在分析中新学习的知识可能有很多不正确,或者不确定,因为我个人能力有限没察觉到的地方,所以只能称为我个人的分析笔记,因为我当时是这样想...
病毒分析】全网首发!以国内某安全厂商名字为后缀的勒索病毒分析
最新发布
2401_83062893的博客
07-26 1207
勒索病毒首先通过分析TLS回调函数,实现了程序的随机数生成和池初始化机制。
Wannacry勒索病毒样本分析
谈成(C/C++)
05-14 1万+
一、病毒简介: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
盘盘那些牛逼的勒索病毒(附样本
Peter_FHC的博客
01-15 4610
盘点那些比较牛的勒索病毒
勒索软件样本
01-24
理解软件的功能及原理,加强对系统和网络的安全意识。
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
勒索病毒的原理和防范机制研究
yrhych123的博客
09-23 1万+
勒索病毒的原理和防范机制研究什么是勒索病毒?近几爆发的勒索病毒概况勒索病毒特征及危害勒索病毒通过什么方式入侵我们的电脑?5、勒索病毒的原理是什么?技术特点?现实生活中,我们该如何防范?小结 什么是勒索病毒? 【定义及传播】勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。关于勒索病毒,最通俗易懂的理解就是,黑客通过攻击你的系统,把你的重要文件用一把锁锁住,然后威胁你“一手交钱一手交货”。 【影响】该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 【密码学技术】这种病
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 471
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
网络安全学习第4篇-使用特征码和MD5对勒索病毒进行专杀,并对加密文件进行解密
一清道长的个人博客
04-03 2673
请使用IDA或其它分析工具分析本次的样本文件,写一个简要的行为分析报告,并编写一个针对于这次样本的专杀(恢复)程序。 要求: 1、样本分析只要说明主要行为即可。提示:sub_401320主要用于文件加密操作;sub_401470主要用于查找docx文件;sub_4017D0主要用于创建自删除脚本文件;sub_4019B0主要用于创建readme说明文件。 2、专杀工具需要能够识别本次的样本文...
WannaCry/ WCRY “想哭”勒索病毒漏洞檢查工具
09-28
WannaCry(想哭)勒索病毒/勒索蠕蟲 以一個公開的漏洞 (MS17-010) 以及從美國國安局外流的「EternalBlue」漏洞攻擊程式,短時間內全球大量擴散爆發災情,大量未更新和已終止支援的 Windows 作業系統使得 WannaCry 可以得逞,WannaCry 哭聲尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來,趨勢科技提供漏洞檢查工具,此工具會幫消費者在windows電腦上執行以下兩項工作:
20194最新勒索病毒样本分析数据恢复
weixin_34068198的博客
04-17 752
1. satan病毒升级变种satan_pro特征:.satan_pro 后缀勒索邮箱:satan_pro@mail.ru evopro@protonmail.com 等 2、YYYYBJQOQDU勒索病毒特征:.YYYYBJQOQDU后缀勒索邮箱:supportd@tfwno.gif 等 3、ciphered勒索病毒特征:.ciphered后缀勒索邮箱:bivisfiles@protonmai...
应急响应-勒索病毒检测指南&Win&Linux样本演示&家族识别&分析解密
siu~
04-09 1740
1、勒索病毒危害影响? 2、勒索病毒怎么传播的? 3、勒索病毒有哪些家族? 4、勒索病毒如何进行处置?
WannaCry勒索病毒分析
ZK_1874的博客
10-28 4973
WannaCry勒索病毒分析
恶意软件分析——Tesla勒索病毒分析
摔不死的笨鸟的博客
09-06 1082
目录 概述… 2 样本信息… 2 样本行为… 2 流程图… 4 技术细节详细分析… 5 静态分析… 5 线程一:结束指定进程… 8 线程二:删除卷影副本… 8 线程三:网络连接服务器… 9 线程四:遍历文件并实施加密… 9 动态分析… 11 样本溯源… 12(略) 查杀·防御技术方案… 13 总结… 14 FileName FileType FileSize MD5 tfukrc....
“暗黑天使”降临:DarkAngels勒索病毒全解密
二狗的博客
01-17 839
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Kotlin中的集合函数
mg2flyingff的博客
07-01 2275
本文会介绍一些 Kotlin 集合函数,这些函数可以极大地提高我们的开发效率,可以作为小抄随时翻阅~
ubuntu安装samba时session setup failed: NT_STATUS_LOGON_FAILURE
zhichaosong的专栏
03-11 2746
尝试安装了samba,挺好用,但是遇到一个问题在运行 smbclient -L localhost - U   xxxx时,错误为: session setup failed: NT_STATUS_LOGON_FAILURE 原因是我xxxx为我当前的用户。当前用户是无法进行共享自己的共享文件的。所以xxxx处你可以随便写,只要提示输入密码正确就可以了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值