4、应急响应-勒索病毒检测&Win&Linux虚拟机勒索病毒演示与影响&&家族识别&解密工具

用途:个人学习笔记,欢迎指正

前言:

1、什么是勒素病毒?
        勒索病毒是一种新型电脑病毒,主要以RDP爆破、钓鱼邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2017年不法分子利用永恒之蓝(ms17-010)漏洞制作和传播wannacry勒索病毒一炮而红英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,危害巨大,2019年末,勒索已然呈现出“双重勒索”的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常暗网)公开售卖企业的商业数据。 

2、勒索病毒危害影响?
 (1)系统瞬时CPU占用高,接近100%,这个现象主要是在批量加密文件。
 (2)所有应用都被无法使用和打开。
 (3)系统应用文档被加密无法修改。
 (4)文件后缀被修改并留下勒索信。
 (5)桌面主题被修改。
   (6)杀毒软件告警。(可能你并不懂告警了CrySiS是什么东西)

测试有风险,请用虚拟机保存快照后运行病毒

1、分析勒索病毒样本,识别勒索病毒家族

人工分析:
(1)通过加密格式来判断
(2)通过桌面的形式来判断
(3)通过勒索者的邮箱来判断家族
(4)通过勒索者留下的勒索信为例
(5)通过微步云沙箱/威胁情报/暗网论坛
平台分析:
勒索病毒搜索引擎
360:http://lesuobingdu.360.cn
腾讯:https::/guanjia.qq.com/pr/ls
启明:https:/lesuo.venuseye.com.cn
奇安信:https:/lesuobingdu.qianxin.com
深信服:https:/edr.sangfor..com.cn/#/information/ransom_search

2、识别病毒类型后可去平台查询下载对应解密工具尝试解密

当然,由于病毒加密算法复杂,除了开发者没人知道密钥,现在大部分勒索病毒都没有现成的解密工具,如果中了就只能认栽,所以要预防病毒传播途径。

勒索软件解密工具集
腾讯哈勃:https:/habo.qq.com/tool
金山毒霸:http:/www.duba.net/dbt/wannacry.html
火绒:http:/bbs.huorong.cn/forum-55-1.html
瑞星:http:/it.rising.com.cn/fanglesuo/index.html
Nomoreransom:  https://www.nomoreransom.org/zh/index.html
MalwareHunterTeam:  https://id-ransomware.malwarehunterteam.com
卡巴斯基:https:/noransom.kaspersky.com
Avast:  https://www.avast.com/zh-cn/ransomware-decryption-tools
Emsisoft:  https://www.emsisoft.com/ransomware-decryption-tools/free-download
Github勒索病毒解密工具收集汇总:https:/github.com/jiansiting./Decryption-Tools 

演示案例:

(1)、Windows-WannaCry-感染&识别&解密失败
病毒样本: https://bbs.pediy.com/thread-267595.htm                   

  安天和哈勃解密工具解密失败!文件无法正常打开

4、应急响应-勒索病毒检测&Win&Linux虚拟机勒索病毒演示与影响&&家族识别&解密工具_第1张图片

(2)、Windows-Satan3.X-感染&识别&解密
病毒样本: https://bbs.pediy.com/thread-245987.htm
【瑞星】Satan勒索解密工具,  解密成功!
http://bbs.ikaka.com/showtopic-9353573.aspx

4、应急响应-勒索病毒检测&Win&Linux虚拟机勒索病毒演示与影响&&家族识别&解密工具_第2张图片

(3)、Linux-GonnaCry-感染&识别&解密
病毒样本: https://github.com/tarcisio-marinho/GonnaCry

该样本有一款工具能解密成功!其他工具都解密失败

4、应急响应-勒索病毒检测&Win&Linux虚拟机勒索病毒演示与影响&&家族识别&解密工具_第3张图片

你可能感兴趣的:(应急响应-蓝队,linux,windows,系统安全,安全威胁分析,网络安全)