勒索病毒

最新推荐文章于 2025-03-12 14:01:04 发布
最新推荐文章于 2025-03-12 14:01:04 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: 病毒 od 字符串 特征码 注册表 文章标签: 傀儡进程 病毒 勒索 桌面文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40720008/article/details/88041463
版权
本文详细分析了一种勒索病毒的行为,包括样本信息、病毒的加密文件行为、自我删除、启动项伪装以及混淆代码中的恶意代码提取。通过对内存分析和函数调用的跟踪,揭示了解密字符串的函数,强调了提权和环境变量获取在病毒中的作用。总结指出,面对勒索病毒,除了分析样本,还需要开发防范工具。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

0x01 样本概况

样本信息

大小: 327680 bytes
修改时间: 2017年4月13日, 15:30:22
MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1: 863F5956863D793298D92610377B705F85FA42B5
CRC32: 1386DD7A
在这里插入图片描述

测试环境及工具

软件环境:Windows7、VMware Workstation
硬件环境:局域网、PC机一台
开发工具:OD、IDA、火绒剑、PCHunter、PEid、loadPe
网络工具:WSExplorer

分析目标

病毒主要行为
病毒传播原理
查杀方法

0x02 行为分析

将系统内的文本、文档等文件加密,
每个文件夹都会生成文字版和图片版的勒索信息
程序会自我删除
程序会添加启动项,伪装成cmd,在cmd后面添加启动参数

0x03 从混淆代码中提取恶意代码

申请内存

Virtuall下断点,virtuall肯定是在第3个之后,也就是第4下硬件写入断点是49所以不是,,第4个就是3ac00 是大小也就是镜像大小

最低0.47元/天 解锁文章
基于DNS日志分析,勒索病毒和远程控制病毒排查方法
xudxy的专栏
06-15 4748
 由于公司受到勒索病毒及一些远程控制病毒攻击,在杀毒软件不能正常查杀的情况下怎样知道全网有多少用户受到威胁,通过行业一些专业机构给出的处理方法,经验证,通过DNS日志分析是一个很好的排查手段,下面对本次排查过程进行分析,希望可以帮助到大家。           1.勒索病毒和远程控制病毒特征分析               通过网上收集,勒索病毒和远程控制病毒运行会访问特定域名,仅作为示例:   ...
勒索病毒处置流程
qq_32390591的博客
05-06 2269
作为安全服务人员,勒索病毒预防和排查一直是重中之重,相对于僵木蠕、敏感性信息泄露等威胁事件,勒索病毒会给企业带来直观的经济损失,虽然现在国家已经释放需要保险来兜底,安全厂家也在联合保险公司来为勒索做兜底服务,但是据了解门槛都不低。目前接触过的好像也就比较好入门,只需要购买相关产品和服务就可以投保,不需要复杂的评估和考核。
防止勒索病毒操作日志
05-24
记录一次内网检查勒索病毒的整个过程,比较详细了,各
安全知识-勒索病毒防护方案,零基础入门到精通,看这篇就够了!赶紧收藏!
最新发布
2401_84215240的博客
03-12 910
定期开展漏洞隐患排查,针对采用的网络产品,及时进行版本升级,第一时间修补漏洞,采用漏洞扫描设备和产品的,对漏洞扫描设备进行集中管理,建立完整、持续的漏洞发现和管理手段,定期开展巡检,将供应链厂商产品,驻场人员等纳入网络安全管理范畴,定期开展供应链安全风险隐患排查。通过感染的勒索病毒涉及的勒索信息、加密文件、可疑样本、弹窗信息等对勒索病毒进行分析,提取勒索病毒通信特征、样本文件和传播途径等重要信息,并通过本地网络日志信息、勒索病毒样本文件等研判勒索攻击入侵渠道。通过网络、系统、应用程序的漏洞攻击用户。
勒索病毒应急处置流程
T_Tzz的博客
08-03 6556
1.事件状态判断 了解现状,了解发病时间,了解系统架构,然后确认被感染主机范围!2.临时处置 已感染主机:进行网络隔离,禁止使用U盘、移动银盘等移动存储设备 未感染主机:ACL隔离、关闭ssh、rdp等协议,禁止使用U盘、移动硬盘。3.信息收集分析 windows: A.文件排查: msconfig查看启动项 %U...
2019年网络安全灾难事件,5大勒索病毒软件
m0_68649618的博客
04-08 742
什么是勒索病毒 勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者无法解密,只有病毒开发者本人可以进行破解。 网络攻击千千万,勒索病毒占一半。先来看看今年发生的这些威胁事件:   3月份,全球最大铝制品生产商之一的Norsk Hydro遭遇勒索软件攻击,多条生产线被迫关闭,全球铝制品市场遭遇震荡;   5月,某网约车平台遭黑客勒索软件打击,服务器核心数据惨遭加密,攻击者索要巨额比特币赎金,企业无奈之下向公安机关报警求助;   6
勒索病毒解密工具.zip
05-11
新型勒索病毒解密文件,后缀.adobe 的测试 解密了几个,有些个别也没解密成功,你可以试试。
勒索病毒应急响应自救手册.docx
05-14
勒索病毒应急响应自救手册》是一份针对企业和个人如何应对勒索病毒攻击的重要指南。勒索病毒,作为近年来威胁网络安全的主要力量,其攻击手段多样,包括但不限于垃圾邮件、服务器入侵、网页挂马和捆绑软件等。这类...
勒索病毒安全防护手册-中国信通院.pdf
09-08
"勒索病毒安全防护手册" 根据《勒索病毒安全防护手册》中提到的信息,我们可以总结出以下知识点: 1. 勒索病毒的定义和危害:勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种密码算法加密用户数据,...
Aurora勒索病毒专用解密工具
04-07
Aurora勒索病毒是一种恶意软件,专门针对用户的数据进行加密,从而勒索赎金。这种病毒通常通过网络钓鱼、恶意附件或者漏洞利用等方式传播。一旦感染,它会使用强大的加密算法对用户的文件进行加密,使得用户无法正常...
勒索病毒应急响应手册.pdf
08-28
### 勒索病毒应急响应知识点详解 #### 一、勒索病毒定义及特点 - **定义**: 勒索病毒是一种特殊的恶意软件,通过加密受害者计算机上的文件或锁定操作系统,迫使用户支付赎金以换取解密钥匙或解锁权限。 - **主要...
勒索病毒资料
09-11
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
勒索病毒解密工具
12-18
勒索病毒解密工具,国外的软件。直接可以解密被勒索病毒加密后的文件
勒索病毒应急措施及防护方案.pptx
09-08
勒索病毒产业链 病毒勒索五大形式 常见的勒索病毒 勒索病毒攻击手段 勒索病毒中毒特征 勒索病毒自救措施 加强管理制度建设预防勒索病毒 勒索病毒立体防护解决方案 勒索病毒立体防护方案用户收益
勒索病毒工作过程及一般防护方法
flat0809的博客
07-13 5301
一.什么是勒索病毒勒索病毒是一种恶意程序,可以感染设备,网络与数据中心使其瘫痪,直至用户支付赎金使系统解锁 二.勒索病毒的工作过程 1.外部入侵过程-----非法登录计算机,传递勒索病毒 通过分析多起针对Windows服务器的勒索病毒攻击,发现此类攻击大多利用弱口令漏洞,系统漏洞等方式获得远程用户名和密码,之后通过RDP(远程桌面协议,TCP,3389)远程登录目标服务器运行勒索病毒。黑客一旦能够成功登录服务器,则可以在服务器上为所欲为。这也意味着,即使服务器安装了安全软件也可能被黑客手动退出 对于很多
Paradise(天堂)勒索病毒解密工具
煜铭2011
11-01 3420
0x0背景 Paradise(天堂)勒索病毒最早出现在2018年七月份左右,Paradise勒索病毒,翻译成中文是 “天堂勒索” ,此病毒运行之后使用对称算法加密受害者文件,使用RSA算法加密密钥,没有作者RSA私钥无法解密文件病毒会判断系统语言,如果系统语言在指定列表中则删除自身,否则执行加密操作,国内已经有用户中招。 0x01 解密工具 下载链接:https://www....
记一次勒索病毒排查
m0_50833693的博客
04-18 1430
排查个人终端C时,发现已无法正常登录操作系统,使用启动盘进入PE界面后,同样被投放勒索病毒,安装everything工具后,对攻击时间被修改的文件进行查看,因可查看信息过少,无法判断具体的攻击路径。接到业务部门人员反馈,服务器A无法传输业务数据,除维持系统正常运行文件外,所有数据均被加密,文件名为demo.pmq.[74AC1A88].[hudsonL@cock.li].mkp。因着急恢复业务,且之前有备份数据,服务器A被格式化,重装系统;摸排同网段服务器,发现同样遭受勒索病毒的服务器B。
勒索病毒..
2201_75765956的博客
11-17 150
与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。1、2017年5月,一种名为“想哭”(WannaCry)的勒索病毒袭击全球150多个国家和地区,30万名用户,近百个国家的政府、高校、医院等机构及个人的计算机收到感染,恶意加密用户个人文件,以解密诉求为由索要赎金,引发了迄今为止网络世界最大的安全危机。1、安全加固,对服务器和终端安装专业的安全防护软件;
常用勒索病毒漏洞扫描工具汇总
勒索病毒漏洞扫描工具集合所涉及的知识点广泛,包含了网络安全、漏洞利用、威胁检测等几个方面。接下来,我们将对这些知识点进行详细阐述。 首先,勒索病毒是一种恶意软件,它通过加密用户的文件来限制用户对文件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值