什么是勒索病毒
一种新型电脑病毒,主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出"双重勒索"的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常是暗网)公开售卖企业的商业数据。
勒索病毒的表现
- 系统瞬时CPU占用高,接近100%,这个现象主要是在批量加密文件。
- 所有应用都被无法使用和打开。
- 系统应用文档被加密无法修改。
- 文件后缀被修改并留下勒索信。
- 桌面主题被修改。
入侵手法-参考文章
勒索病毒分类
- LockBit:LockBit于2019年9月首次以 ABCD勒索软件的形式出现,2021年发布2.0版本,相比第一代,LockBit 2.0号称是世界上最快的加密软件,加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型,并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力(加密和窃取数据),据作者介绍和情报显示LockBi3.0版本已经诞生,并且成功地勒索了很多企业。
- Gandcrab/Sodinokibi/REvil:REvil勒索软件操作,又名Sodinokibi,是一家臭名昭著的勒索软件即服务 (RaaS) 运营商,可能位于独联体国家(假装不是老毛子)。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现,并且是暗网上最多产的勒索软件之一,其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。(2021年暂停止运营,抓了一部分散播者)。
- Dharma/CrySiS/Phobos:Dharma勒索软件最早在 2016 年初被发现, 其传播方式主要为 RDP 暴力破解和钓鱼邮件,经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处,故怀疑这几款勒索软件的 作者可能是同一组织。
- Globelmposter(十二生肖):Globelmposter又名十二生肖,十二主神,十二.....他于2017年开始活跃,2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分,比如国内最常见的一个攻击者邮箱为China.Helper@aol.com
- WannaRen(已公开私钥):WannaRen勒索家族的攻击报道最早于2020年4月,通过下载站进行传播,最终在受害者主机上运行,并加密几乎所有文件;同时屏幕会显示带有勒索信息的窗口,要求受害者支付赎金,但WannaRen始终未获得其要求的赎金金额,并于几天后公开密钥。
- Conti:Conti勒索家族的攻击最早追踪到2019年,作为"勒索软件即服务(RaaS)",其幕后运营团伙管理着恶意软件和Tor站点,然后通过招募合作伙伴执行网络漏洞和加密设备。在近期,因为分赃不均,合作伙伴多次反水,直接爆料攻击工具、教学视频、以及部分源代码。
- WannaCry:WannaCry(又叫Wanna Decryptor),一种"蠕虫式"的勒索病毒软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞"EternalBlue"(永恒之蓝)进行传播,WannaCry的出现也为勒索病毒开启了新的篇章。
- 其他家族
分析定性勒索病毒
人工分析
以WannaCry为例,我们来看它有那些特征
- 通过加密格式来判断
- 通过桌面的形式来判断
- 通过勒索者的邮箱来判断家族
这边没有留下邮箱,故而没有进行展示
- 通过勒索者留下的勒索信为例
平台分析
安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士
勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家
https://lesuo.venuseye.com.cn/
应急处置
分析家族样本
在熟悉逆向的情况下可以对恶意文件进行逆向分析
判断是否存在解密手段
- 通过各大搜索引擎搜索解密方式,存在解密方式的话就直接进行解密
:::danger
通过一个Satan(撒旦)勒索病毒来演示可以解密的情况
通过安全公司提供的解密软件可以成功解密
:::
- 不存在解密方式的话寻求解密公司或者安全公司
- 重装系统
处置封锁攻击入口
通过上一节的知识,我们可以通过本机资产梳理判断存在那些服务存在被攻击的可能性,从而来锁定攻击的入口点,比如说WannaCry刚出现的时候是通过永恒之蓝大批量勒索,我们可以根据这些勒索病毒出现的特征点来锁定入口点,当然这并不是绝对的,也可能通过RDP爆破口令进入,要根据具体情况分析。
评论 (0)