什么是勒索病毒?
一种新型电脑病毒,主要以 RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出”双重勒索“的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常是暗网)公开售卖企业的商业数据。
勒索病毒危害影响?
系统瞬时 CPU 占用高,接近 100%,这个现象主要是在批量加密文件。
所有应用都被无法使用和打开。
系统应用文档被加密无法修改。
文件后缀被修改并留下勒索信。
桌面主题被修改。
勒索病毒怎么传播的?
案例分析:https://mp.weixin.qq.com/s/XhZ_cJwbVizll1nQruQqhw
十类典型勒索软件家族
人工分析:
- 通过加密格式来判断
- 通过桌面的形式来判断
- 通过勒索者的邮箱来判断家族
- 通过勒索者留下的勒索信为例
- 通过微步云沙箱/威胁情报/暗网论坛
平台分析:
https://lesuobingdu.qianxin.com
https://habo.qq.com/tool/index
https://edr.sangfor.com.cn/#/information/ransom_search
应急处置:
1、分析家族样本
2、有解密就解密
3、没解密找其他渠道
4、处置封锁攻击入口
已公开解密工具:
https://github.com/jiansiting/Decryption-Tools
https://mp.weixin.qq.com/s/LLqI6qzzkDzpPYJe4SXQCw
实例:
Windows
不可解的(不可逆向的)
可解的(可逆向的)
Linux
