知識(shí)點(diǎn)

1、勒索病毒危害影響？
2、勒索病毒怎么傳播的？
3、勒索病毒有哪些家族？
4、勒索病毒如何進(jìn)行處置？

1、什么是勒索病毒？

勒索病毒是一種新型電腦病毒，主要以RDP爆破、郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶(hù)帶來(lái)無(wú)法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。2019年末，勒索已然呈現(xiàn)出“雙重勒索”的趨勢(shì)，即先竊取商業(yè)數(shù)據(jù)，然后實(shí)施勒索，如果未能在規(guī)定時(shí)間內(nèi)支付贖金，將于網(wǎng)上（通常暗網(wǎng)）公開(kāi)售賣(mài)企業(yè)的商業(yè)數(shù)據(jù)。

2、勒索病毒危害影響？

（1）系統(tǒng)瞬時(shí)CPU占用高，接近100%，這個(gè)現(xiàn)象主要是在批量加密文件。
（2）所有應(yīng)用都被無(wú)法使用和打開(kāi)。
（3）系統(tǒng)應(yīng)用文檔被加密無(wú)法修改。
（4）文件后綴被修改并留下勒索信。
（5）桌面主題被修改。
（6）殺毒軟件告警。（可能你并不懂告警了CrySiS是什么東西）

3、勒索病毒怎么傳播的？

4、勒索病毒常見(jiàn)家族及確定？

（1）LockBit：LockBit于 2019 年 9 月首次以 ABCD勒索軟件的形式出現(xiàn)，2021年發(fā)布2.0版本，相比第一代，LockBit 2.0號(hào)稱(chēng)是世界上最快的加密軟件，加密100GB的文件僅需4分半鐘。經(jīng)過(guò)多次改進(jìn)成為當(dāng)今最多產(chǎn)的勒索軟件系列之一。LockBi使用勒索軟件即服務(wù) (RaaS)模型，并不斷構(gòu)思新方法以保持領(lǐng)先于競(jìng)爭(zhēng)對(duì)手。它的雙重勒索方法也給受害者增加了更大的壓力（加密和竊取數(shù)據(jù)），據(jù)作者介紹和情報(bào)顯示LockBi3.0版本已經(jīng)誕生，并且成功地勒索了很多企業(yè)。

（2）Gandcrab/Sodinokibi/REvil：REvil勒索軟件操作，又名Sodinokibi，是一家臭名昭著的勒索軟件即服務(wù) (RaaS) 運(yùn)營(yíng)商，可能位于獨(dú)聯(lián)體國(guó)家（假裝不是老毛子）。它于 2019 年作為現(xiàn)已解散的 GandCrab 勒索軟件的繼任者出現(xiàn)，并且是暗網(wǎng)上最多產(chǎn)的勒索軟件之一，其附屬機(jī)構(gòu)已將目標(biāo)鎖定全球數(shù)千家技術(shù)公司、托管服務(wù)提供商和零售商,一直保持著60家合作商的模式。（2021年暫停止運(yùn)營(yíng)，抓了一部分散播者）。

（3）Dharma/CrySiS/Phobos：Dharma勒索軟件最早在 2016 年初被發(fā)現(xiàn)， 其傳播方式主要為 RDP 暴力破解和釣魚(yú)郵件，經(jīng)研究發(fā)現(xiàn) Phobos勒索軟件、CrySiS勒索軟件與 Dharma勒索軟件有 許多相似之處，故懷疑這幾款勒索軟件的 作者可能是同一組織。

（4）Globelmposter（十二生肖）：Globelmposter又名十二生肖，十二主神，十二…他于2017年開(kāi)始活躍，2019年前后開(kāi)始對(duì)勒索程序進(jìn)行了大的改版變更。攻擊者具有一定的地域劃分，比如國(guó)內(nèi)最常見(jiàn)的一個(gè)攻擊者郵箱為China.Helper@aol.com

（5）WannaRen（已公開(kāi)私鑰）：WannaRen勒索家族的攻擊報(bào)道最早于2020年4月，通過(guò)下載站進(jìn)行傳播，最終在受害者主機(jī)上運(yùn)行，并加密幾乎所有文件；同時(shí)屏幕會(huì)顯示帶有勒索信息的窗口，要求受害者支付贖金，但WannaRen始終未獲得其要求的贖金金額，并于幾天后公開(kāi)密鑰。

（6）Conti：Conti勒索家族的攻擊最早追蹤到2019年，作為“勒索軟件即服務(wù)（RaaS）”，其幕后運(yùn)營(yíng)團(tuán)伙管理著惡意軟件和Tor站點(diǎn)，然后通過(guò)招募合作伙伴執(zhí)行網(wǎng)絡(luò)漏洞和加密設(shè)備。在近期，因?yàn)榉众E不均，合作伙伴多次反水，直接爆料攻擊工具、教學(xué)視頻、以及部分源代碼。

（7）WannaCry：WannaCry（又叫Wanna Decryptor），一種“蠕蟲(chóng)式”的勒索病毒軟件，由不法分子利用NSA（National Security Agency，美國(guó)國(guó)家安全局）泄露的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）進(jìn)行傳播，WannaCry的出現(xiàn)也為勒索病毒開(kāi)啟了新的篇章。

（8）其他家族：當(dāng)然，勒索病毒的家族遠(yuǎn)遠(yuǎn)不止如此。

人工分析

（1）通過(guò)加密格式來(lái)判斷
（2）通過(guò)桌面的形式來(lái)判斷
（3）通過(guò)勒索者的郵箱來(lái)判斷家族
（4）通過(guò)勒索者留下的勒索信為例
（5）通過(guò)微步云沙箱/威脅情報(bào)/暗網(wǎng)論壇

平臺(tái)分析

勒索病毒搜索引擎
360：http://lesuobingdu.#
騰訊：https://guanjia.qq.com/pr/ls
啟明：https://lesuo.venuseye.com.cn
奇安信：https://lesuobingdu.qianxin.com
深信服：https://edr.sangfor.com.cn/#/information/ransom_search

5、勒索病毒有常見(jiàn)處置？

淘寶、閑魚(yú)找專(zhuān)業(yè)人做
Github公開(kāi)工具資源搜
各類(lèi)安全公司及殺毒平臺(tái)

勒索軟件解密工具集

騰訊哈勃：https://habo.qq.com/tool
金山毒霸：http://www.duba.net/dbt/wannacry.html
火絨：http://bbs.huorong.cn/forum-55-1.html
瑞星：http://it.rising.com.cn/fanglesuo/index.html
Nomoreransom：https://www.nomoreransom.org/zh/index.html
MalwareHunterTeam：https://id-ransomware.malwarehunterteam.com
卡巴斯基：https://noransom.kaspersky.com
Avast：https://www.avast.com/zh-cn/ransomware-decryption-tools
Emsisoft：https://www.emsisoft.com/ransomware-decryption-tools/free-download
Github勒索病毒解密工具收集匯總：https://github.com/jiansiting/Decryption-Tools

附錄目前國(guó)內(nèi)外收集的工具：

1、【Bitdefender】REvil/Sodinokibi 勒索病毒通用解密工具
http://www.bitdefender-cn.com/downloads/tool/BDREvilDecryptor.zip
2、【騰訊】Petya解密工具
https://habo.qq.com/tool/detail/petya
3、【騰訊】TeslaCrypt解密工具
https://habo.qq.com/tool/detail/teslacrypt
4、【騰訊】Allcry解密工具
https://habo.qq.com/tool/detail/allcrykiller
5、【騰訊】XData解密工具
https://habo.qq.com/tool/detail/xdatacrack
6、【騰訊】WannaCry解密工具 
https://habo.qq.com/tool/detail/searchdky
7、【騰訊】哈勃勒索病毒解密助手 
https://habo.qq.com/tool/detail/ransomware_recovery_tools
8、【火絨】GandCrab勒索病毒專(zhuān)用解密工具
https://bbs.huorong.cn/thread-55035-1-1.html
9、【Bitdefender】GandCrab勒索病毒解密工具-GandCrab v5.1
https://bbs.kafan.cn/thread-2143312-1-1.html
10、【火絨】Bcrypt專(zhuān)用解密工具 
https://bbs.huorong.cn/thread-52034-1-1.html
11、【火絨】Aurora勒索病毒專(zhuān)用解密工具
https://bbs.huorong.cn/thread-56687-1-1.html
12、【EmsiSoft】 Decryptor解密工具 
https://www.emsisoft.com/ransomware-decryption-tools/
13、【金山】UNNAMED1989勒索病毒 
http://bbs.duba.net/thread-23530814-1-1.html
14、【ESET】Crysis 勒索解密工具 
https://support.eset.com/en/kb6274-clean-a-crysis-or-wallet-infection-using-the-eset-crysis-decryptor?locale=en_US&viewlocale=en_US
15、【瑞星】CryptON 勒索解密工具 
http://it.rising.com.cn/dongtai/19600.html
16、【瑞星】Satan 勒索解密工具
http://bbs.ikaka.com/showtopic-9353573.aspx
17、【騰訊】FBI敲詐專(zhuān)殺工具 
https://habo.qq.com/tool/detail/fbi
18、【騰訊】勒索軟件專(zhuān)殺工具 
https://habo.qq.com/tool/detail/ransomwarekill
?[Apocalypse勒索軟件解密工具]
https://www.pcrisk.com/removal-guides/10111-apocalypse-ransomware
?[Alcatrazlocker勒索軟件解密工具]
https://files.avast.com/files/decryptor/avast_decryptor_alcatrazlocker.exe
?[Alma勒索軟件解密工具]
https://info.phishlabs.com/blog/alma-ransomware-analysis-of-a-new-ransomware-threat-and-a-decrypter
?[Alpha勒索軟件解密工具]
https://dl.360safe.com/Decryptor_AlphaDecrypter.cab
?[AL-Namrood勒索軟件解密工具]
https://www.pcrisk.com/removal-guides/10535-al-namrood-ransomware
?[Apocalypse 勒索病毒解密工具]
http://blog.emsisoft.com/2016/06/29/apocalypse-ransomware-which-targets-companies-through-insecure-rdp/
?[Autolocky勒索軟件解密工具]
https://www.bleepingcomputer.com/news/security/decrypted-the-new-autolocky-ransomware-fails-to-impersonate-locky/
?[Bart勒索病毒解密工具]
http://phishme.com/rockloader-downloading-new-ransomware-bart/
?[BitDtak勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/BitStakDecrypter.zip
?[BarRax勒索軟件解密工具]
https://blog.checkpoint.com/wp-content/uploads/2017/03/BarRaxDecryptor.zip
?[CryptON 勒索病毒解密工具]
http://blog.emsisoft.com/2017/03/07/emsisoft-releases-free-decrypter-for-crypton-ransomware/
?[CoinVault勒索軟件解密工具]
https://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information
?[CryptXXX勒索病毒解密工具]
http://www.bleepingcomputer.com/virus-removal/cryptxxx-ransomware-help-information
?[Crypt0勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/Crypt0Decrypter.zip
https://www.pcrisk.com/removal-guides/10478-crypt0-ransomware
?[Crypt38Keygen勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/Crypt38Keygen.zip
?[Crypren勒索軟件解密工具]
https://github.com/pekeinfo/DecryptCrypren
http://www.nyxbone.com/malware/Crypren.html
?[CryptComsole勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/CryptConsoleDecrypter.zip
?[Crytomix勒索軟件解密工具]
https://files.avast.com/files/decryptor/avast_decryptor_cryptomix.exe
?[CryptoHostKeygen勒索軟件解密工具]
https://github.com/Demonslay335/CryptoHostKeygen
?[Cry9勒索軟件解密工具]
https://www.pcrisk.com/removal-guides/11199-cry9-ransomware
http://blog.emsisoft.com/2017/04/04/remove-cry9-ransomware-with-emsisofts-free-decrypter/
?[CoinVault勒索軟件解密工具]
https://www.nomoreransom.org/uploads/CoinVaultDecryptor.zip
?[Cryptinfinite勒索軟件解密工具]
https://www.pcrisk.com/removal-guides/9568-cryptinfinite-ransomware
?[CrazyCrypt勒索密鑰生成工具]
https://edr.sangfor.com.cn/file/tool/CrazyCrypt_Password.rar
?[DXXD勒索病毒解密工具]
http://www.bleepingcomputer.com/news/security/the-week-in-ransomware-october-14-2016-exotic-lockydump-comrade-and-more/
?[DoNotOpen勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/DoNotOpenDecrypter.zip
?[Decrypt Protect[mbl advisory]勒索病毒解密工具]
http://www.malwareremovalguides.info/decrypt-files-with-decrypt_mblblock-exe-decrypt-protect/
?[Enigma勒索軟件解密工具]
https://www.im-infected.com/ransomware/remove-enigma-ransomware-virus-removal.html
?[EduCrypt勒索軟件解密工具]
https://www.bleepingcomputer.com/news/security/the-educrypt-ransomware-tries-to-teach-you-a-lesson/
?[GhostCrypt勒索病毒解密工具]
http://www.bleepingcomputer.com/forums/t/614197/ghostcrypt-z81928819-help-support-topic-read-this-filetxt/
?[GhostCrypt勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/GhostCryptDecrypter.zip
?[Gomasom勒索軟件解密工具]
https://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomware-decrypted/
?[GandCrab勒索軟件解密工具]
https://www.bleepingcomputer.com/news/security/fbi-releases-master-decryption-keys-for-gandcrab-ransomware/
?[Hidden tear勒索軟件解密工具]
https://files.avast.com/files/decryptor/avast_decryptor_hiddentear.exe
https://download.bleepingcomputer.com/demonslay335/hidden-tear-decrypter.zip
?[HydraCrypt/UmbreCrypt勒索病毒解密工具]
http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/
?[HydraCrypt勒索軟件解密工具]
https://tmp.emsisoft.com/fw/decrypt_hydracrypt.exe
?[Hidden Tear勒索軟件解密工具]
https://www.cyber.nj.gov/threat-profiles/ransomware-variants/hidden-tear
?[InsaneCrypt勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/InsaneCryptDecrypter.zip
?[Ims00rry勒索軟件解密工具]
https://securityaffairs.co/wordpress/88376/malware/ims00rry-ransomware-decryptor.html
https://www.emsisoft.com/decrypter/ims00rry
?[Jigsaw勒索軟件解密工具]
https://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/
?[JuicyLemon勒索軟件解密工具]
https://dl.360safe.com/Decryptor_JuicyLemonDecoder.cab
?[JigSaw勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip
?[Lockcrypt勒索軟件解密工具]
https://labs.bitdefender.com/wp-content/uploads/downloads/lockcrypt-ransomware-decryptor/
?[Legion勒索病毒解密工具]
http://botcrawl.com/legion-ransomware/
?[LockedIn勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/LockedInDecrypter.zip
?[MirCop勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/MirCopDecrypter.zip
?[Mblblock勒索軟件解密工具]
https://tmp.emsisoft.com/fw/decrypt_mblblock.exe
?[Marlboro勒索軟件解密工具]
https://www.bleepingcomputer.com/news/security/marlboro-ransomware-defeated-in-one-day/
?[Nullbyte勒索軟件解密工具]
https://www.bleepingcomputer.com/news/security/the-nullbyte-ransomware-pretends-to-be-the-necrobot-pokemon-go-application/
?[NullByte勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/NullByteDecrypter.zip
?[Nanolocker勒索軟件解密工具]
https://github.com/Cyberclues/nanolocker-decryptor
?[NMoreira勒索軟件解密工具]
https://www.pcrisk.com/removal-guides/10689-nmoreira-ransomware
?[NanoLocker勒索病毒解密工具]
http://blog.malwareclipboard.com/2016/01/nanolocker-ransomware-analysis.html
?[OpenToYou 勒索病毒解密工具]
http://blog.emsisoft.com/2016/12/30/emsisoft-releases-free-decrypter-for-opentoyou-ransomware/
?[Odcodc勒索病毒解密工具]
http://www.nyxbone.com/malware/odcodc.html
?[ODCODCDecoder勒索軟件解密工具]
https://dl.360safe.com/Decryptor_ODCODCDecoder.cab
?[Pclock勒索軟件解密工具]
https://www.bleepingcomputer.com/forums/t/561970/new-pclock-cryptolocker-ransomware-discovered/
?[PopCorn勒索軟件解密工具]
https://www.elevenpaths.com/downloads/RecoverPopCorn.zip
?[Ransom.Cryakl勒索病毒解密工具]
http://blog.checkpoint.com/2015/11/04/offline-ransomware-encrypts-your-data-without-cc-communication/
?[Shade勒索軟件解密工具]
https://blog.kaspersky.com/shade-decryptor/12661/
?[SanSam勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/SamSamStringDecrypter.zip
?[Unlock92勒索軟件解密工具]
https://download.bleepingcomputer.com/demonslay335/Unlock92Decrypter.zip
?[Unlocker勒索軟件解密工具]
https://github.com/kyrus/crypto-un-locker
?[Wildfire勒索軟件解密工具]
https://downloadcenter.mcafee.com/products/mcafee-avert/wildfiredecrypt/wildfiredecrypt.exe

一、演示案例-Linux-GonnaCry-感染&識(shí)別&解密

樣本：https://github.com/tarcisio-marinho/GonnaCry

二、演示案例-Windows-Satan3.X-感染&識(shí)別&解密

樣本：https://bbs.pediy.com/thread-245987.htm





http://bbs.ikaka.com/showtopic-9353573.aspx

三、演示案例-Windows-WannaCry-感染&識(shí)別&解密

樣本：https://bbs.pediy.com/thread-267595.htm






說(shuō)是能恢復(fù)，但是都恢復(fù)失敗。。。。。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-850515.html

到了這里，關(guān)于應(yīng)急響應(yīng)-勒索病毒檢測(cè)指南&Win&Linux樣本演示&家族識(shí)別&分析解密的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！