记·Windows勒索病毒应急响应

已于 2023-03-01 11:36:40 修改
阅读量893 收藏 2
点赞数
分类专栏: 应急响应 文章标签: 网络
于 2023-02-26 13:37:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chongya927/article/details/129224743
版权

一、了解攻击情况

打开电脑就是勒索信息页面,猜测可能中勒索病毒了。于是赶紧断网,防止病毒进一步扩散,开机页面如下。

经过微步查询文件中的域名确定是勒索病毒。并且每个文件夹都有勒索文件的信息。

这时出现了卷影复制的弹窗,实际上勒索病毒常见动作是卷影备份,删除卷影备份使被攻击者无法恢复任何已加密的文件。

二、攻击痕迹挖掘

接下来对系统层面进行排查,分别从异常计划任务、异常服务、账号安全、开放端口等层面进行检查。

1.排查计划任务以及服务,观察是否有木马文件

2.排查账号安全

发现该服务器禁止Guest账户,没有异常。防止存在影子用户,去管理看看。

3.排查启动项

发现启动项中存在异常程序,取消勾选并去相应目录删除文件。

4.排查开放端口

发现开启了3389端口,初步猜测通过rdp暴力破解进来,后面询问相关人员得知远程桌面的密码为弱口令Aa123456。

为了验证猜想是否正确,查看系统的安全日志。通过安全日志可以清晰的看到,在一秒时间内有多次访问失败的事件ID 4625,直到爆破成功登录服务器。

三、分析

攻击者通过暴力破解远程桌面密码,由弱口令进入服务器,随后运行勒索病毒。并且该病毒无法解密,因没有重要数据,所以进行重装系统。

后面通过查找相关勒索信息找到了病毒样本,属于木马家族Kryptik。

该木马采用的是RSA-4096非对称加密算法,对网络资源文件进行加密,加密之后会在桌面创建截图和勒索信息文本并打开,再删除备份数据生成的卷影副本,防止数据恢复。接着创建发送加密后的主机信息,最后删除原始文件。

该木马运行后会进行系统环境检测,通过注册表来检测是否安装了常见反病毒软件。随后设置注册表实现自启动,并且会自动删除原始文件达到隐匿的效果。还会进行一些系统敏感操作,如删除卷影副本以免系统被恢复、启动进程并注入代码、结束其他进程、将自身拷贝到其他目录下以及创建新的文档类文件等等。

四、安全建议

  • 检测rdp端口是否为弱口令,并要求定期修改密码

  • 对重要数据进行定期备份

  • 多台机器不要使用相同的账号和口令

  • 定期检测系统和软件中的安全漏洞,并及时打上补丁

  • 安装防护软件,确保正常运行

  • 提高员工的安全意识

应急响应Windows应急响应手册(勒索病毒篇)
李火火的安全圈
07-19 398
本篇内容围绕勒索病毒事件进行分析,通过使用技术手段来确定勒索病毒家族并寻找解密方法,实战中过程中可参考文中部分内容提供一些帮助!
网络安全从入门到精通(特别篇VIII):应急响应勒索病毒处置流程
HACKONE的博客
02-10 633
勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索病毒无法通过技术手段进行解密 必须拿到对应的解密密钥才有可能无损的还原被加密的文件。
病毒分析二:勒索病毒分析
liuhaidon1992的博客
10-30 2006
一、样本简介 样本是吾爱破解论坛找到的,原网址:https://www.52pojie.cn/thread-1035897-1-1.html, 样本链接: https://pan.baidu.com/s/1gQ0f3SH2yqeJzJW7U-Fg5A 提取码: tid2 样本ESET检测为Win32/Kryptik.GUIH 特洛伊木马的变种。此类型的病毒会加密文件然后勒索用户。 二、现象描述 ...
勒索病毒应急响应
weixin_45007073的博客
05-02 850
背景 正当我打游戏打得尽兴的时候,我舍友发信息过来,附带了一条勒索病毒信息。我的第一反应是:wcwcwc!!不会这么倒霉吧!信息上说只要支付相应的比特币金额,就能恢复数据。这你说给谁会信啊??!!同时也欢迎各位大佬对他的邮箱服务器发起社工攻击,为民除害。 我上网搜了下0.006比特币对应的人民币金额是多少?what??我那小小的数据竟然要支付两千多块钱来恢复?? 本来想先看看日志,搜寻一下是哪个IP发起的攻击。谁知道舍友说他移除了所有的docker容器并重装了docker服务!what??? 那既然这
应急响应-勒索病毒
qq_53058639的博客
03-17 817
一种新型电脑病毒,主要以的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出"双重勒索"的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常是暗网)公开售卖企业的商业数据。
一次Windows勒索病毒应急响应实战
Canterlot的博客
09-04 5500
本文录了一次详细的Windows应急响应流程,包含了各个排查项目,建议对照《Windows应急响应基础》阅读
一次勒索病毒应急响应复盘
Innocence_0的博客
10-06 205
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
网络安全应急响应(归纳)
热门推荐
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
应急响应——勒索病毒风险处置
admin的博客
05-17 319
勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所有磁盘中的Office文档、图片等文件,对这些文件进行格式篡改和加密。其中,通过漏洞发起的攻击占攻击总数的绝大部分,因为老旧系统(如win7、xp等)存在大量无法及时修复的漏洞,容易被病毒利用。这种病毒主要以邮件、程序木马、网页挂马的形式进行传播,并利用各种加密算法对文件进行加密,使得被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
挖矿病毒应急响应处置手册
最新发布
安全狐
03-21 941
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
网络安全应急响应技术实战指南》知识点总结(第4章 勒索病毒网络安全应急响应
qiuqiunile_的博客
03-24 2973
一、勒索病毒概述 机器一旦遭受勒索病毒攻击,会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且受害者无法读取原本正常的文件。 勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。 二、常见的勒索病毒 1、wannacry勒索病毒 传播方法:永恒之蓝漏洞(SMB协议) 2、GolobeImposter、GrandCrab勒索病毒 传播方法:RDP暴力破解、钓鱼邮件、捆绑软件等。 (具体的可去查阅资料) 三、勒索
勒索病毒应急处置流程
shadow bear
03-26 2663
勒索病毒处置流程
有一种新型病毒在 3Ds Max 环境中传播,如何避免?
专注于3D渲染行业,分享3D渲染的经验和技巧
08-16 2683
该病毒附带来自钓鱼网站的第 3 方插件,可以破坏 3Ds Max 软件的设置、运行恶意代码、传播到其他 3Ds Max 文件 (*.max) 并将收集的个人数据发送到韩国的 C&C 服务器。,如果将包含损坏脚本的场景文件加载到 3Ds Max 中,可能会意外损坏 3Ds Max 软件的设置,并传播到 Windows 系统上的其他 Max 文件 (*.max)。但我不建议使用它,因为您需要时不时地手动运行它们,并且您可能会错过病毒进入另一个场景的时刻,这对于多个人可以处理一个文件的大公司来说非常关键。
安全响应中心 — 垃圾邮件事件报告(5.16)
Scgute88的博客
05-19 1149
攻击者打着“员工福利”之类的名号,降低防备心,将二维码放在邮件正文中或者附件中,再加上精心准备的钓鱼界面,稍有不慎就泄露自己的银行卡号密码等,最终被攻击者利用,造成敏感信息泄露个人经济损失。目前启发式规则库支持对该类邮件全方面拦截,检测点包括但不限于:用户名伪造检测、发件域信誉、HELO、EHLO、rDNS、RBL、内置钓鱼模板匹配度、恶链、0day-Phish等等。利用二维码进行的钓鱼、投毒,成为目前常见的邮件攻击手段之一,该类二维码主要存在于网络链接图片、邮件内容图片、附件图片中。
伪装成NodeJS的勒索病毒勒索呼伦贝尔的空气
pandazhengzheng的博客
02-11 1216
伪装成NodeJS的勒索病毒勒索呼伦贝尔的空气
大量用户中招,远控木马已经潜伏各类在线会议平台
2401_84466361的博客
05-27 1290
攻击者在单个 IP 地址上部署了所有的虚假在线会议软件网站,这些网站都采用俄语并使用与官方网站十分相似的 URL 部署恶意软件。攻击链如下所示:攻击链与执行流程用户访问某个虚假网站时,点击下载安卓应用程序会获得恶意 APK 文件,点击下载 Windows 应用程序会获得 BAT 文件。通过 BAT 文件,最终投递的还是远控木马。
Windows应急响应练习-勒索病毒篇1
一只爱吃橙子的羊
03-07 6431
此文章参考真实Windows服务器被勒索病毒威胁,在本地搭建测试环境,使用相应的勒索病毒,为防止病毒扩散,此处不提供测试环境与病毒
网络安全】勒索病毒简介
ZL_1618的博客
01-06 1219
上述方式主要是用于排查感染主机,以及临时处理方案。一旦感染勒索病毒,想要恢复感染文件就要通过解密工具和支付赎金的方法。而解密工具并不一定能够解开密码,赎金又比较高昂。所以我们应该从源头上制止事件的发生。做到定期更新安全补丁、制定严格的口令策略、对入口进行封堵、定期进行安全扫描,以及对重要文件和数据进行异地备份。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
勒索病毒工作过程及一般防护方法
flat0809的博客
07-13 5357
一.什么是勒索病毒勒索病毒是一种恶意程序,可以感染设备,网络与数据中心使其瘫痪,直至用户支付赎金使系统解锁 二.勒索病毒的工作过程 1.外部入侵过程-----非法登录计算机,传递勒索病毒 通过分析多起针对Windows服务器的勒索病毒攻击,发现此类攻击大多利用弱口令漏洞,系统漏洞等方式获得远程用户名和密码,之后通过RDP(远程桌面协议,TCP,3389)远程登录目标服务器运行勒索病毒。黑客一旦能够成功登录服务器,则可以在服务器上为所欲为。这也意味着,即使服务器安装了安全软件也可能被黑客手动退出 对于很多
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值