solar应急响应-优快云博客

原创【家族介绍】当AI沦为帮凶——FunkSec组织掀起勒索风暴

FunkSec 逐渐更新了他们使用的代码以及他们的数据泄露网站，这使得他们能够维持在线的战略存在。用户通过一个洋葱链接访问 FunkSec 数据泄露网站。FunkSec 在 2024 年 11 月下旬创建了该网站，包括四个部分：数据、拍卖、论坛、受害者&证明。

2025-03-25 14:34:18 310

原创【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter

是一款高级磁盘映像挂载工具，主要用于数字取证和数据恢复。它由开发，支持将多种磁盘映像（如 E01、VHD、VHDX、ISO、RAW 等）直接挂载为 Windows 逻辑驱动器或物理磁盘。相比于普通的磁盘映像工具，AIM 提供更强大的功能，例如挂载后与 Windows 原生存储子系统交互，支持 BitLocker 解密、卷影副本恢复等。

2025-03-20 14:22:39 430

原创【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！

该CTF挑战题目完整复现了黑客的攻击链路，攻击者通过伪造钓鱼页面引导受害者下载恶意软件。用户访问伪造的 Microsoft 365 官网后，在点击“Windows Installer (64-bit)”下载选项时，页面会自动跳转至伪造的 GitHub 项目链接，并下载加密器的恶意程序。伪造Microsoft 365官网。

2025-03-19 17:46:48 3595

原创【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView

右键以管理员权限打开软件，可以看到系统历史使用程序，分类框从左到右依次为：活动时间、描述、文件名称、完整路径、更多信息、文件扩展名、以及数据来源。

2025-03-13 17:37:03 1097

原创【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析

本次分析的恶意样本系APT组织"银狐"利用DeepSeek大模型热度精心策划的社工攻击典型案例。攻击者通过伪造"大模型自动安装助手"软件，借助NSIS打包、PowerShell脚本注入、内存加载等技术，构建了一条隐蔽的攻击链路。其核心策略包括：1.热点捆绑：以AI技术工具为伪装，精准诱骗技术用户下载；2.持久控制：结合计划任务欺骗和进程共生机制，确保恶意程序长期存活。该案例体现了APT攻击者对技术趋势的敏锐捕捉能力，以及对社会工程学与底层系统漏洞的深度融合。

2025-03-11 14:56:41 750

原创【应急响应工具教程】一款自动化分析网络安全应急响应工具--FindAll

FindAll是一款安全团队开发的轻量化蓝队工具，专为应急响应场景设计，主打信息收集与威胁情报联动，尤其适合团队快速排查多台主机的安全风险。同时FindAll采用客户端-服务器（CS）架构，特别适用于那些无法直接登录远程主机进行安全检查的场景。FindAll相比于其他工具，最大的特点就是它的综合的信息收集和界面设计简洁明了，用户无需深入了解复杂的命令行操作，大大降低了使用门槛。这使得即使是网络安全领域的新手也能够轻松上手，有效地进行数据分析和安全事件排查。以下是它信息采集的类别1.系统基本信息。

2025-03-04 09:26:23 587

原创【应急响应工具教程】一款精准搜索文件夹内容的工具--FileSeek

FileSeek 是一款易于使用、精准搜索的文件搜索应用程序，尤其适合需要从大量文档或代码库中定位特定信息的用户。相比于搜索速度极快、基于文件名索引的everything，fileseek的核心优势是支持对文件内容的精准检索，无论是纯文本、日志文件还是代码文件，均可快速定位目标字符串。提供预览功能，可直接高亮显示匹配内容，无需打开文件对时间范围、文件大小精确截取同步配置。

2025-03-04 09:25:41 786

原创【紧急警示】GlobeImposter最新变种kat6.l6st6r利用金万维异速联远程控制漏洞发动大规模勒索攻击

金万维的异速联是一款企业级的远程访问和远程控制软件，主要用于提供跨网络的远程操作和管理功能。它通过高速稳定的远程访问技术，帮助企业实现远程办公、设备管理、技术支持等功能。

2025-02-26 09:15:19 1087

原创【应急响应工具教程】流量嗅探工具-Tcpdump

Tcpdump 是一款命令行数据包嗅探工具，能够直接从文件或网络接口捕获并解析数据帧。它适用于任何类 Unix 操作系统。Tcpdump是一款功能强大的命令行数据包嗅探工具，支持从网络接口实时捕获或从文件解析数据包。作为Unix/Linux系统的标准网络诊断工具，它无需图形界面即可通过终端或SSH等远程连接进行操作，尤其适合服务器环境使用。该工具基于pcap和libpcap库实现底层数据捕获，通过将网卡设置为混杂模式，能够监听整个局域网内所有设备的通信流量，而不仅限于当前主机的目标数据。

2025-02-21 09:38:38 803

原创【漏洞与预防】远程代码执行漏洞预防

本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法，具体详情可参考。

2025-02-18 16:10:16 698

原创【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析

MedusaLocker 家族首次于 2019 年 9 月出现，MedusaLocker 家族通常通过有漏洞的远程桌面协议（RDP）配置获取受害者设备访问权限，攻击者还经常使用电子邮件钓鱼和垃圾邮件活动——直接将勒索软件附加到电子邮件中——作为初始入侵渠道。MedusaLocker会对受害者的数据进行加密，并在每个包含加密文件的文件夹中留下勒索信。勒索信要求受害者向特定的比特币钱包地址支付赎金。根据观察，MedusaLocker 似乎采用勒索软件即服务（RaaS）模型运营。

2025-02-13 17:06:48 648

原创【应急响应工具教程】取证工具-Volatility安装与使用

是一款非常流行的开源内存取证分析框架，主要用于从计算机的内存转储（memory dump）中提取关键信息，广泛应用于数字取证、恶意软件分析和系统调试等领域。Volatility 支持多种操作系统的内存映像，包括 Windows、Linux、MacOS 等，并能够提取与操作系统相关的详细信息，如进程、网络连接、文件、注册表、内核模块等。

2025-02-08 09:47:03 988

原创【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析

Medusa家族是一种主要针对基于Windows环境的勒索软件即服务（RaaS），自2021年6月起活跃。该勒索软件在2023年初因其活动升级而广为人知，特别是与其专用泄露网站Medusa Blog（DLS）的推出密切相关。Medusa的大多数攻击集中在美国，但也在英国、加拿大、澳大利亚等国家造成了重大影响，涉及众多行业。其高价值目标主要包括医疗保健、制造业、教育和专业服务等领域。Medusa暗网地址搭建于Tor网络，结构可分为三个主要页面：数据泄露页、泄露详情页和谈判页。

2025-01-23 14:55:05 839

原创【漏洞与预防】MSSQL数据库弱口令漏洞预防

工具名称md5sha1Ncrack。

2025-01-21 12:57:26 868

原创【成功案例】某房地产公司的mallox最新变种勒索病毒rmallox解密恢复项目

在随后的工作中，Solar团队深入进行了系统的解密和恢复工作，清除了黑客留下的后门，修复了受损的服务文件，并彻底还原了整个攻击链条。特别是考虑到，黑客B所属的组织是一个知名的境外勒索软件团伙，而黑客A最初利用的是国内某知名ERP系统的0day漏洞，这进一步加深了两者联系的疑问。Solar团队安排工程师去到客户现场，线下协助客户进行勒索病毒解密恢复，最终成功解密和恢复了被加密的数据文件，同时还对客户的网络安全情况做了全面的评估，并提供了相应的解决方法和建设思路，获得了客户的高度好评。

2025-01-21 12:41:29 634

原创【病毒分析】rmallox木马分析

近期，Solar团队收到某信息技术公司的援助请求，该公司的计算机服务器受到了mallox勒索家族的侵害，所有的文件被加密并且添加了.rmallox后缀，该勒索软件的初始入侵方式是利用知名财务系统的nday进行的。应客户的要求，本文暂不提供对入侵事件溯源的分析报告，仅提供该勒索病毒加密器的逆向分析报告。

2025-01-21 12:09:13 715

原创【病毒分析】R3强杀360：银狐远控病毒再进化

银狐病毒自2022年起活跃，主要针对中国用户和企事业单位，尤其是财务、管理和专业领域的从业人员。该病毒通过多种攻击手段传播，包括伪装为税务、财务相关文件的钓鱼邮件、社交平台的恶意链接，以及利用SEO（搜索引擎优化）确保其钓鱼网站在中国搜索引擎中的排名靠前。此外，银狐还结合恶意广告投放和多次电子邮件钓鱼活动，分发远程管理木马（RATs），以实现对受害者设备的远程控制和数据窃取。以下为近期捕获到的一起银狐病毒样本，我们对其进行了深入分析。

2025-01-17 14:04:28 1136

原创【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手

Exela Technologies**（纳斯达克代码：XELA）是一家全球领先的上市**业务流程自动化（BPA）公司，致力于为各行业提供数字化转型解决方案，以提升质量、生产力和终端用户体验。公司总部位于美国德克萨斯州欧文市，成立于2017年，由 SourceHOV LLC、Novitex Holdings, Inc. 和 Quinpario Acquisition Corp. 2 合并而成，并在纳斯达克上市。

2025-01-14 15:38:57 835

原创【官方WP】第一届solar杯·应急响应挑战赛官方题解

就在几天前，第一届圆满落下帷幕。这场比赛汇聚了来自全国的网络安全精英，选手们在激烈的技术较量中展现了非凡的能力和智慧。为延续比赛的技术交流与分享精神，我们很高兴向大家呈现本次比赛的官方WP（Writeup）。本篇官方WP将深入解析比赛中的关键赛题，从流量分析到勒索病毒破解，逐步还原真实案例中的技术细节与解决思路。

2025-01-09 14:01:29 1367

原创【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！

Weaxor家族在2024年11月首次现身，该勒索病毒会将“.rox”扩展名附加到受感染文件的名称后，并留下名为“RECOVERY INFO.txt”的勒索信。信中包含了Weaxor家族的暗网地址，受害者可以通过该地址进入一个一对一的聊天界面，其他人无法访问。值得注意的是，暗网地址的首页为空白，这一设计显得格外耐人寻味。一对一聊天界面首页。

2024-12-29 23:53:38 1733

原创【病毒分析】全网首发！袭扰国内top1家族Mallox家族破解思路及技术分享

关于Mallox家族信息可参考本篇文章【病毒分析】Mallox勒索家族新版本：加密算法全面解析，详情内容部分可移步solar官网处介绍https://www.solarsecurity.cn/family?id=3。

2024-12-29 23:50:35 650

原创【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命

关于RansomHub家族信息详情可参考本篇文章033.【病毒分析】Ransomhub加密器样本-EXSI本篇详细介绍了一个RansomHub家族使用工具绕过杀软防护并加载恶意驱动的全流程。程序通过BYOVD（Bring Your Own Vulnerable Driver）技术利用漏洞驱动，强制终止安全软件进程。解密过程首先通过提供的密钥解密文件，并通过RC4算法对数据进行解密，最终生成恶意shellcode。恶意驱动利用系统漏洞加载后，程序通过构造特定的结构体，调用驱动程序中的。

2024-12-15 23:21:07 875

原创【病毒分析】Ransomhub加密器样本-EXSI

关于RansomHub新发布的勒索病毒即服务（RaaS）项目的公告，发布于一个俄罗斯来源的论坛，该论坛是网络犯罪分子用来宣传恶意服务的平台，名为RAMP4U（或RAMP）。此外，Koley还指出，管理面板使用了.onion域名，允许联盟成员组织和管理目标、聊天房间，查看访问日志，提供离线自动响应，并创建私密博客页面。此外，根据该公告，勒索病毒的载荷是用Golang语言编写的，使用基于x25519的非对称算法和AES256、ChaCha20、xChaCha20等加密算法，以其加密速度为特色。

2024-12-15 23:11:59 1108

原创【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目

2024年4月11日，某影视公司的服务器遭受了勒索软件攻击，随后向我司寻求帮助进行恢复。经过我司溯源排查，勒索组织通过一处用友NC资产进行入侵，攻击者利用国产工具横移了数小时后实施勒索。其中一台超融合（vcenter）成了攻击者重要跳板，但也因为这台重要跳板的“端点挂全部挂”的特性，勒索攻击得到了有效地“自动”遏制，最后排查得出30多台服务器被勒索，重要系统被锁定无法使用,溯源过程中还发现了多个挖矿木马，目前尚不清楚该挖矿木马是否与此次勒索病毒组织有关联，但这也揭示了客户网络安全防护的薄弱之处。

2024-12-09 15:46:33 1667

原创【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵

solar团队数年深耕勒索解密与数据恢复领域，在勒索解密和数据恢复领域建立了良好的声誉，以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业，都能提供量身定制的服务，确保每一个被勒索软件侵害的数据都能够恢复到最佳状态，同时在解密数据恢复后，提供全面的后门排查及安全加固服务，杜绝二次感染的风险。同时，solar团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。

2024-12-09 15:21:40 961

原创【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告

LockBit 3.0（也称为 LockBit Black）是LockBit 勒索软件的新变种。前身LockBit最早出现在2019年，安全研究人员一度将其称为ABCD（因为早期变种将加密文件的扩展名改为.abcd）。2021年，发布Lockbit2.0版本，也称Lockbit RED，加入了双重勒索攻击、删除磁盘卷影和日志文件等新功能。同时还内置了一款名为StealBit的数据窃取木马，该木马是为了支持LockBit Raas附属机构从受害者公司快速窃取敏感数据。

2024-12-09 15:09:33 1716

原创【病毒分析】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告

LockBit 3.0（也称为 LockBit Black）是LockBit 勒索软件的新变种。前身LockBit最早出现在2019年，安全研究人员一度将其称为ABCD（因为早期变种将加密文件的扩展名改为.abcd）。2021年，发布Lockbit2.0版本，也称Lockbit RED，加入了双重勒索攻击、删除磁盘卷影和日志文件等新功能。同时还内置了一款名为StealBit的数据窃取木马，该木马是为了支持LockBit Raas附属机构从受害者公司快速窃取敏感数据。

2024-12-07 23:05:58 1677

原创【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判

本次捕获了使用中文勒索信的勒索组织。通过对提取到的加密器进行分析，并未发现其与已知勒索家族的特征相似，因此暂命名为。虽然勒索信为中文，但在客户与黑客通过TOX进行谈判的记录中，可以明显看出黑客并不熟悉中文。在客户无意中发送中文时，黑客明确警告要求用其母语沟通，并强调中间不要夹杂任何中文形式，展现了其对语言沟通效率的严格要求。值得注意的是，黑客在报价时表现出较为“专业化”的服务形式。他不仅承诺在客户支付全额赎金后会提供解密工具，还额外承诺删除所有保存的数据，并提供攻击路径及修复方法等服务。

2024-12-07 21:52:45 968

原创【教程分享】服务器数据文件备份教程

1. 大于16G u盘*1。如果仅备份数据文件不备份系统盘，可以不使用U盘安装PE系统。2. 大于备份文件容量的机械硬盘或固态硬盘*1。

2024-12-05 17:10:49 676

原创【教程分享】勒索病毒来袭！教你如何做好数据防护

勒索病毒是一种恶意软件，其目的是通过加密受害者的文件或锁定计算机系统来勒索钱财。通常文件会统一一种后缀，并且会在每个文件夹中生成txt、html、hta格式的勒索信，勒索信会告知您的计算机已被加密，需支付比特币到比特币钱包中方可获取解密密钥或恢复访问权限，并且会留下黑客的邮箱比特币钱包地址，便于受害者联系及支付赎金。勒索病毒的攻击过程依赖于加密，加密文件会生成一对密钥。其中之一是解密密钥，它成为访问文件的唯一方法，受害者通过支付赎金的方式才能获取解密密钥。

2024-12-05 17:07:42 962

原创【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密）

团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系、ITSS（信息技术服务运行维护标准四级）等认证，已构建了网络安全行业合格的资质体系；

2024-12-05 16:44:45 1009

原创【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密）

LIVE勒索病毒家族最早被曝光是在23年12月份，360的论坛发布了该家族的被加密样本，其加密特征为文件名后直接添加LIVE后缀，这时候还是该家族勒索病毒的1.0版本。

2024-12-04 17:25:37 1102

原创【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目

团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系、ITSS（信息技术服务运行维护标准四级）等认证，已构建了网络安全行业合格的资质体系；

2024-12-04 17:13:36 1012

原创【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？

近年来，勒索病毒已成为企业网络安全的重大威胁。通过加密重要数据并索要赎金，这些恶意软件让众多企业陷入困境。最近，一个名为TargetOwner的勒索病毒家族推出了其新版本，采用了更为复杂的加密手段和攻击策略，使得众多企业被入侵勒索。在早期，TargetOwner勒索病毒家族主要通过RDP弱口令爆破进行单台计算机的勒索攻击。这种方法相对简单，但却有效地破坏了许多未采取强密码策略的系统。自24年5月份以来，TargetOwner勒索病毒家族升级为使用Phobos后缀，开始专门针对大企业进行定向入侵。

2024-11-25 11:40:40 727

原创【病毒分析】BabyK加密器分析-Windows篇

Windows这部分的加密的执行主要采用了多线程的方式，其中加密算法采用了Curve25519算法作为其加密算法，每个文件都是使用了同一个黑客的公钥来实现的密钥交换，但每个文件都会生成一个属于自己的私钥和公钥，而且整体发现此款恶意程序以加密速度为目标，为的就是用最短的时间来实现对中招电脑的资料进行加密。

2024-11-25 11:32:09 740

原创【病毒分析】Wormhole勒索病毒分析

solar团队数年深耕勒索解密与数据恢复领域，在勒索解密和数据恢复领域建立了良好的声誉，以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业，都能提供量身定制的服务，确保每一个被勒索软件侵害的数据都能够恢复到最佳状态，同时在解密数据恢复后，提供全面的后门排查及安全加固服务，杜绝二次感染的风险。同时，solar团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。

2024-11-25 11:29:24 1272

原创【病毒分析】Lockbit家族Lockbit 3.0加密器分析

solar团队数年深耕勒索解密与数据恢复领域，在勒索解密和数据恢复领域建立了良好的声誉，以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业，都能提供量身定制的服务，确保每一个被勒索软件侵害的数据都能够恢复到最佳状态，同时在解密数据恢复后，提供全面的后门排查及安全加固服务，杜绝二次感染的风险。同时，solar团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。

2024-11-25 11:25:18 717

原创【病毒分析】Babuk家族babyk勒索病毒分析

solar团队数年深耕勒索解密与数据恢复领域，在勒索解密和数据恢复领域建立了良好的声誉，以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业，都能提供量身定制的服务，确保每一个被勒索软件侵害的数据都能够恢复到最佳状态，同时在解密数据恢复后，提供全面的后门排查及安全加固服务，杜绝二次感染的风险。同时，solar团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。

2024-11-25 11:22:45 1069

原创【病毒分析】phobos家族faust变种加密器分析

solar团队数年深耕勒索解密与数据恢复领域，在勒索解密和数据恢复领域建立了良好的声誉，以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业，都能提供量身定制的服务，确保每一个被勒索软件侵害的数据都能够恢复到最佳状态，同时在解密数据恢复后，提供全面的后门排查及安全加固服务，杜绝二次感染的风险。同时，solar团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。

2024-11-25 11:19:59 871

原创【病毒分析】DevicData勒索病毒分析

solar团队数年深耕勒索解密与数据恢复领域，在勒索解密和数据恢复领域建立了良好的声誉，以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业，都能提供量身定制的服务，确保每一个被勒索软件侵害的数据都能够恢复到最佳状态，同时在解密数据恢复后，提供全面的后门排查及安全加固服务，杜绝二次感染的风险。同时，solar团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。

2024-11-25 11:00:23 892

空空如也

空空如也