【应急响应】Windows应急响应手册(勒索病毒篇)

news2024/12/24 3:01:55

文章目录

  • 前言
  • 一、勒索病毒
    • 简述
    • 保护现场
    • 确定勒索病毒家族
    • 根据勒索病毒类型寻找解决方法
    • 寻找加密器
    • 解决勒索
    • 善后阶段
    • 常规安全检查阶段


前言

本篇内容围绕勒索病毒事件进行分析,通过使用技术手段来确定勒索病毒家族并寻找解密方法,实战中过程中可参考文中部分内容提供一些帮助!


一、勒索病毒

简述

勒索病毒是让人比较无奈的恶意程序,大部分都是只有攻击者才能解密

近期和一些勒索解密团队合作后发现,其实还是有解密的可能的,是否能够解密,如何判断需要专业团队来完成

但还是那句话,把应急解密或者赎金的钱用在数据备份,安全防护上才是较为明智的选择

保护现场

保护现场很重要,即使重装系统也建议保留一份镜像,尤其是与本次攻击相关的关键系统

确定勒索病毒家族

判断勒索病毒家族并不难,可以从以下几个方面获取

  • 勒索页面主动说明的,直接粘贴到baidu、Google里面搜索
  • 勒索加密文件的后缀名
  • 联系邮箱

根据勒索病毒类型寻找解决方法

  • 深信服EDR – https://edr.sangfor.com.cn/#/information/ransom_search
  • 360安全卫士-勒索病毒解密 – https://lesuobingdu.360.cn/
  • The No More Ransom Project – https://www.nomoreransom.org/zh/index.html
  • 腾讯电脑管家-勒索病毒搜索引擎 – https://guanjia.qq.com/pr/ls/
  • VenusEye勒索病毒搜索引擎 – https://lesuo.venuseye.com.cn/
  • 奇安信-勒索病毒搜索引擎 – https://lesuobingdu.qianxin.com/
  • 腾讯哈勃勒索病毒安全工具 – https://habo.qq.com/tool/index
  • 瑞星放勒索病毒专题 – https://it.rising.com.cn/fanglesuo/index.html
  • 卡巴斯基勒索软件解密器 – https://noransom.kaspersky.com/zh/
  • ID Ransomware – https://id-ransomware.malwarehunterteam.com/
  • Github
  • 淘宝、闲鱼

寻找加密器

如果没有找到现成的解决方法,又不想冒险交赎金来解密的话,就只能通过找加密器和加密命令来分析解密方法了

寻找加密器并不简单,时间线是一个很重要的线索,其次是勒索病毒一般不会加密自己的加密器

(1)确定加密时间

使用everything等程序,搜索被加密后的文件的后缀,对加密后的文件进行时间排序,很容易确定加密开始的时间
在这里插入图片描述
这里需要注意,部分加密程序可能会对部分空文件或者特殊格式的文件仅重命名,所以需要人工鉴别来确定时间

(2)查询加密开始前的活动

一方面是通过everything等来查看加密开始前创建文件的情况,另一方面是通过各种缓存等文件,查看近期文件执行情况,具体可参照后续更新内容(常规安全检查-近期活动章节内容

(3)对加密器逆向分析

这部分需要具备逆向分析的能力。

如果是单文件加密器,没有额外参数,分析起来可能比较容易

如果是单文件加密器有额外参数或者多文件加密器(证书或者公钥文件),则需要获取相关参数或文件才能进行分析,这种也是比较主流的

如果能获取到恶意程序原程序,也就是说执行该程序会从网络下载加密器并执行或者该恶意程序会自己释放加密器并执行,可以在隔离的测试环境,通过火绒剑等对恶意程序的执行过程进行监控,获取有效的加密器以及启动参数,进一步进行分析

解决勒索

如果通过公开途径或者交赎金的方式获取到了解密工具,一定要先测试好,免得遇到二次加密

如果是安全人员逆向分析,找到了破解方法,也建议对已经被加密的文件备份一份,免得解密过程中出现bug导致文件丢失

除了恢复被勒索系统以外,找到被勒索的原因是最重要的,如果由于缺少流量、日志等记录,无法还原,至少要做到以下几点

  • 将应用程序及系统升级、打上最新的安全补丁
  • 对于本次受到影响的系统进行重点备份

善后阶段

后续更新善后阶段内容,主要定损以及针对性排查处理,目的是解决潜在的受害服务器

常规安全检查阶段

后续更新常规安全检查章节进行安全检查即可,目的是找出当前系统中存在的隐藏后门等

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1937438.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【JavaScript 算法】堆排序:优先队列的实现

🔥 个人主页:空白诗 文章目录 一、算法原理堆的定义堆排序的步骤 二、算法实现构建最大堆注释说明: 三、应用场景四、总结 堆排序(Heap Sort)是一种基于堆数据结构的排序算法,具有较好的时间复杂度表现。堆…

uniapp中给data中的变量赋值报错

排查了一上午,原本以为是赋值的这个变量有一个键名是空字符串的问题,后来发现是因为在data中定义变量是写的是{},如果写成null就不会报错了,具体原因不清楚为什么

jmeter部署

一、windows环境下部署 1、安装jdk并配置jdk的环境变量 (1) 安装jdk jdk下载完成后双击安装包:无限点击"下一步"直到完成,默认路径即可。 (2) jdk安装完成后配置jdk的环境变量 找到环境变量中的系统变量:此电脑 --> 右键属性 …

java Selenium,定位 伪元素.UI自动化

Java中,要获取这个表单字段前面的必填标识星号“*”,因为是用的伪元素,无法直接通过常规定位获取字符,需要用到 JavascriptExecutor。 import org.openqa.selenium.By; import org.openqa.selenium.JavascriptExecutor; import or…

K8S实战进阶

title ‘K8S实战进阶’ date 2024-04-02T16:57:3608:00 draft true 一、搭建Kubernetes集群 1.1 搭建方案 1.1.1 minikube minikube 是一个工具, 能让你在本地运行 Kubernetes。 minikube 在你的个人计算机(包括 Windows、macOS 和 Linux PC&…

【座舱域控器】座舱域的通信方案

座舱域的通信方案 座舱域控器作为整车的几大域控器之一,提供驾驶娱乐的功能。比如中控、副驾、仪表、HUD等。 就座舱来说,座舱域控制器以及MCU,加上一系列的硬件外设。以及再此硬件之上的软件系统,构成了整个座舱系统。 同时&…

【JavaScript 算法】双指针法:高效处理数组问题

🔥 个人主页:空白诗 文章目录 一、算法原理二、算法实现示例问题1:两数之和 II - 输入有序数组示例问题2:反转字符串中的元音字母注释说明: 三、应用场景四、总结 双指针法(Two Pointer Technique&#xff…

全面了解不同GPU算力型号的价格!

这两年人工智能(AI)、机器学习(ML)、深度学习和高性能计算(HPC)领域的快速发展,GPU算力已成为不可或缺的资源。企业、研究机构乃至个人开发者越来越依赖于GPU加速计算来处理大规模数据集和复杂模…

数据实时获取方案之Flink CDC

目录 一、方案描述二、Flink CDC1.1 什么是CDC1.2 什么是Flink CDC1.3 其它CDC1.4 FlinkCDC所支持的数据库情况 二、使用Pipeline连接器实时获取数据2.1 环境介绍2.2 相关版本信息2.3 详细步骤2.3.1 实时获取MySQL数据并发送到Kafka2.3.2 实时获取MySQL数据并同步到Doris数据库…

240718_使用Labelme制作自己的图像分割数据集

240718_使用Labelme制作自己的图像分割数据集 从目标检测入门的朋友们可能更熟悉的是LabelImg,这里要注意做好区分,LabelImg和Labelme不是一个东西,如下经典图: (a)图像分类(目标检测&#xff…

机器学习·概率论基础

概率基础 这部分太简单,直接略过 条件概率 独立性 独立事件A和B的交集如下 非独立事件 非独立事件A和B的交集如下 贝叶斯定理 先验 事件 后验 在概率论和统计学中,先验概率和后验概率是贝叶斯统计的核心概念 简单来说后验概率就是结合了先验概率的前提…

院内影像一体化平台PACS源码,C#语言的PACS/RIS系统,二级医院应用案例

全院级PACS系统源码,一体化应用系统整合,满足放射、超声、内窥镜中心、病理、检验等多个科室的工作流程和需求,为不同科室提供专业的解决方案,实现了全院乃至区域内信息互联互通、数据统一存储与管理等功能,做到以病人…

微软研发致胜策略 05:进度狂

这是一本老书,作者 Steve Maguire 在微软工作期间写了这本书,英文版于 1994 年发布。我们看到的标题是中译版名字,英文版的名字是《Debugging the Development Process》,这本书详细阐述了软件开发过程中的常见问题及其解决方案&a…

免费视频批量横转竖

简介 视频处理器 v1.3 是一款由是貔貅呀开发的视频编辑和处理工具,提供高效便捷的视频批量横转竖,主要功能: 导入与删除文件:轻松导入多个视频文件,删除不必要的文件。暂停与继续处理:随时暂停和继续处理。…

大数据-39 Redis 高并发分布式缓存 Ubuntu源码编译安装 云服务器 启动并测试 redis-server redis-cli

点一下关注吧!!!非常感谢!!持续更新!!! 目前已经更新到了: HadoopHDFSMapReduceHiveFlumeSqoopZookeeperHBaseRedis (正在更新) 章节内容 上一…

python中的数据类型-适合新手-比较完善(写了好久……)

作者的话 首先,我先申明,以下思路仅为个人理解,如有不同,望指导,谢谢。 数据类型它是什么,有什么用,怎么用就是它的全部内容,知识框架串联起来之后就是这三部分内容,没有…

【网络安全科普】勒索病毒 防护指南

勒索病毒简介 勒索病毒是一种恶意软件,也称为勒索软件(Ransomware),其主要目的是在感染计算机后加密用户文件,并要求用户支付赎金以获取解密密钥。这种类型的恶意软件通常通过电子邮件附件、恶意链接、下载的软件或漏洞…

数论基础知识

整除 辗转相除法 同余 模计算机 一次同余方程 费马小定理|欧拉定理|威尔逊定理 孙子定理(中国剩余定理) 快速指数算法(快速模乘法)(反复平方乘) 模重复平方法 二次剩余 Legendre符号欧拉判别法 原根 gc…

golang 解压带密码的zip包

目录 Zip文件详解ZIP 文件格式主要特性常用算法Zip格式结构图总览Zip文件结构详解数据区本地文件头文件数据文件描述 中央目录记录区(核心目录记录区 )中央目录记录尾部区 压缩包解压过程方式1 通过解析中央目录区来解压方式2 通过读取本地文件头来解压两…

JVM常用工具中jmap实现手动进行堆转储(heap dump文件)并使用MAT(Memory Analyzer Tool)进行堆分析-内存消耗分析

场景 JVM-常用工具(jps、jstat、jinfo、jmap、jhat、jstack、jconsole、jvisualvm)使用: JVM-常用工具(jps、jstat、jinfo、jmap、jhat、jstack、jconsole、jvisualvm)使用_jvm分析工具-CSDN博客 上面讲了jmap的简单使用。 下面记录其常用功能,实现堆…