勒索病毒Globelmposter2.X

最新推荐文章于 2024-08-29 17:04:02 发布
最新推荐文章于 2024-08-29 17:04:02 发布
阅读量350 收藏 1
点赞数
文章标签: 操作系统
原文链接:http://blog.51cto.com/13712077/2169780
版权

一、传播方式:
可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播
二、加密后缀名:
.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE、
.ALC0、.ALC02、.ALC03、.RESERVE、.Ox4444等
三、感染特征:
1、加密文件目录下会存在HOW_TO_BACK_FILES.txt的勒索说明文件。
2、开机自启动,注册表项为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck。
3、%LOCALAPPDATA%或%APPDATA%目录存在病毒复制体。
4、%PUBLIC%或%ALLUSERSPROFILE%变量路径存放密钥ID文件。
5、%temp%目录存在xxxxxxx.tmp.bat
四、加密方式:
RSA2048与RSA1024算法
五、.bat脚本功能
1、删除磁盘卷影
2、删除远程桌面连接信息
3、删除日志信息。
六、防护建议
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期备份,且备份文件应与主机隔离。
3、更改账户密码,设置强密码,避免使用统一的密码。
4、如果业务上无需使用RDP的,建议关闭RDP。对3389等端口进行封堵,防止扩散!
5、对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接。

转载于:https://blog.51cto.com/13712077/2169780

weixin_34352449
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GlobeImposter勒索病毒新变种C4H东山再起
systemino的博客
05-21 3041
0x0 背景介绍 随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步。近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助,经过安全团队排查分析,确认为GlobeImposter勒索病毒家族的最新变种C4H。 GlobeImposter家族首次出现的时间为2017年5月,随后在2018与2019年出现不同系列的变种,如:以特征字符“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖
Cryptxxx勒索病毒查杀方法.doc
04-03
勒索病毒,如Cryptxxx、TeslaCrypt和SNSLocker,是一种严重的网络安全威胁,它们通过加密用户的个人文件,尤其是文档和图片等重要数据,迫使受害者支付赎金以获取解密密钥。这类病毒通常利用计算机系统中的漏洞进行...
后缀.com}AOL勒索病毒解密工具,删除.com}AOL勒索病毒GlobeImposter)
weixin_34092455的博客
03-18 1万+
该.com}AOL勒索病毒勒索软件的名称是地球冒名顶替者的变体。加密后它对所有文件的扩展名为.{Benjamin_Jack2811@aol.com}AOL。加密后,赎金票据会显示如何支付赎金并据称恢复您的文件的说明。电子邮件地址Benjamin_Jack2811@aol.com将被网络犯罪分子用于联系。继续阅读并找出可能尝试恢复数据的方法 .com}AOL病毒GlobeImposter) - ...
如何恢复supporthelpgood勒索病毒how_to_back_files.html成功处理
weixin_34061555的博客
05-21 6512
后缀.supporthelpgood,.Scaletto,.COLORIT勒索病毒出现,该恶意软件使用AES和RSA算法的组合来加密数据并添加文件扩展名。但是,几乎每个月都会出现新版本,此时病毒会附加以下扩展名:.COLORIT,.scaletto,.supporthelpgood,.auchentoshan,.guesswho,.[datadecrypt@qq.com].bat,.{Killba...
{mattpear@protonmail.com}MTP勒索病毒处理how_to_back_file
weixin_33918114的博客
02-05 3176
案例描述:正月初一2019年2月5日,正在值班的复旦安全实验室,刘工接到,威海某渔业公司的,求助电话,所有文件被增加了{mattpear@protonmail.com}MTP后缀,每个文件夹下面都留了how_to_back_files.html的文件。 经过分析 这种勒索病毒加密文件用合适的方式方法是可以解决的,随意重新安装系统,随意文件软件恢复文件是徒劳的,找专业的服务公司解决这种问题。并且进行...
病毒分析】mallox家族rmallox变种加密器分析报告
2401_83062893的博客
04-01 3306
近期,Solar团队收到某信息技术公司的援助请求,该公司的计算机服务器受到了mallox勒索家族的侵害,所有的文件被加密并且添加了.rmallox后缀,该勒索软件的初始入侵方式是利用知名财务系统的nday进行的。应客户的要求,本文暂不提供对入侵事件溯源的分析报告,仅提供该勒索病毒加密器的逆向分析报告。
勒索预警,一大波新型勒索病毒与解密工具
pandazhengzheng的博客
03-12 2173
勒索预警,一大波新型勒索病毒与解密工具
深信服勒索病毒解决方案.docx
08-13
深信服勒索病毒解决方案.docx
勒索病毒应急响应自救手册.docx
06-10
2. 关闭系统:在遭遇勒索病毒攻击后,关闭系统可以防止勒索病毒继续攻击。 3. 使用备份恢复数据:如果您有备份,使用备份可以恢复数据。 4. 使用安全软件:使用安全软件可以检测和清除勒索病毒。 5. 联系专业人士:...
深信服企业云用户勒索病毒解决方案.docx
07-09
深信服企业云用户面临的勒索病毒威胁已经成为当前网络安全的一大挑战。勒索病毒通过加密用户的重要数据,迫使受害者支付赎金来解密,严重影响业务运行和数据安全。深信服科技为应对这一问题,提出了一个详尽的解决...
新后缀.com}AOL勒索病毒出现大家做好防御措施以防中招how-to-back-files
weixin_33939380的博客
03-03 1551
新后缀com}AOL勒索病毒出现大家做好防御措施以防中招how-to-back-files山东某公司中了后缀是com}AOL的勒索病毒,全部文件被加密,找到我们后,一天内全部解密完成 如何保护服务器免受勒索病毒***?1.高效的数据备份:组织必须对其存储的所有关键数据采用常规数据备份和恢复计划。应测试备份,并且备份数据必须存储在单独的设备中,最好是离线。2.定期补丁更新:应用程序补丁和操作系统补丁...
勒索病毒的分类收集(实时更新……)
weixin_34341229的博客
02-25 933
截止2019年4月份,安全团队(公众号:网安众安)对所有勒索病毒及相关信息收集: 1、GANDCRAB病毒病毒版本:GANDCRAB V5.0.4 GANDCRAB V5.1 GANDCRAB V5.2中毒特征:<原文件名>.随机字符串勒索信息:随机字符串-DECRYPT.txt 随机字符串-MANUAL.txt特征示例: readme.txt.pfdjjafw 2、GlobeIm...
最近一次.Dragon4444勒索病毒的成功解密过程
anlxss的博客
01-02 4241
2018年12月30日深夜,北京国瑞IT的24小时救援热线电话响起,上海一家三甲国营医院信息科负责人来电,3台业务服务器中毒,所有文件被加密成.dragon4444后缀,医疗业务停止,没有备用机,数据备份全在中毒服务器上被加密,全体工作人员束手无策,国瑞IT在近期处理.dragon4444勒索病毒比较多,立即指导解密前预处理工作,同时指导采取必要措施预防病毒扩散,远程协助至2018年12月31日凌...
Globelmposter勒索病毒最新“十二主神”预警
systemino的博客
07-10 2876
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例! Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现...
2019勒索病毒专杀工具合集,常见勒索病毒解密工具合集下载地址分享【持续更新】
热门推荐
tyu1853的博客
05-10 1万+
从互联网上收集了一些勒索病毒的专杀工具和解密工具分享给大家,希望对中了勒索病毒朋友有帮助。 专杀工具:勒索病毒专杀工具合集下载地址 专杀工具包含: 1)卡巴斯基反病毒实用工具(含勒索解密以及病毒查杀) 2)FBI敲诈专杀工具 3)勒索软件专杀工具 解密工具:勒索病毒解密工具合集下载地址 解密工具包括: 1)Allcry解密工具 2)Aurora勒索病毒专用解密工具 3)Bcry...
关于 GlobeImposter 的勒索病毒说明
攻城狮的博客
01-03 3064
GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种。Globelmposter攻击手法都极其丰富, 通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。Globelmposter勒索病毒攻击目标,较多选择国内金蝶、用友软件的内置SQL Server或Oracle数据库作为承载点,向内网扩散,而...
Globelmposter勒索病毒变种样本分析报告
aihan8042的博客
05-21 334
一.样本概况 1、样本信息 样本来源:http://www.malware-traffic-analysis.net/2017/12/04/index.html Kaspersky,NOD32,360均报毒: MD5: 2908715EEC754ABA1AD21414B23CAFB6 SHA1: 4AF27F4B95F29F877D0ABB1167E...
用AppleScript做macOS UI自动化
qq_34495095的博客
08-26 513
期望点[Trend Micro Antivirus Extension]的按钮,所以先根据Text 定位到[Trend Micro Antivirus Extension],再找到他同层级的下一个元素并点击。,具体见上一篇https://blog.csdn.net/qq_34495095/article/details/141224732。通过UI Browser 可以很快得到element。关键字则用于指定窗格内的一个特定部分或标签页。命令用于在“系统设置”中显示指定的窗格或部分。
Docker容器技术
最新发布
LongHongYu908的博客
08-29 207
Docker之父Docker就好比传统的货运集装箱。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值