知识点

1、应急响应-勒索病毒-定性&排查
2、应急响应-勒索病毒-应急&处置

1、什么是勒索病毒？

勒索病毒是一种新型电脑病毒，主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。2019年末，勒索已然呈现出“双重勒索”的趋势，即先窃取商业数据，然后实施勒索，如果未能在规定时间内支付赎金，将于网上（通常暗网）公开售卖企业的商业数据。

2、勒索病毒危害影响？

（1）系统瞬时CPU占用高，接近100%，这个现象主要是在批量加密文件。
（2）所有应用都被无法使用和打开。
（3）系统应用文档被加密无法修改。
（4）文件后缀被修改并留下勒索信。
（5）桌面主题被修改。
（6）杀毒软件告警。（可能你并不懂告警了CrySiS是什么东西）

3、勒索病毒怎么传播的？

4、勒索病毒常见家族及确定？

（1）LockBit：LockBit于 2019 年 9 月首次以 ABCD勒索软件的形式出现，2021年发布2.0版本，相比第一代，LockBit 2.0号称是世界上最快的加密软件，加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型，并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力（加密和窃取数据），据作者介绍和情报显示LockBi3.0版本已经诞生，并且成功地勒索了很多企业。

（2）Gandcrab/Sodinokibi/REvil：REvil勒索软件操作，又名Sodinokibi，是一家臭名昭著的勒索软件即服务 (RaaS) 运营商，可能位于独联体国家（假装不是老毛子）。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现，并且是暗网上最多产的勒索软件之一，其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。（2021年暂停止运营，抓了一部分散播者）。

（3）Dharma/CrySiS/Phobos：Dharma勒索软件最早在 2016 年初被发现， 其传播方式主要为 RDP 暴力破解和钓鱼邮件，经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处，故怀疑这几款勒索软件的 作者可能是同一组织。

（4）Globelmposter（十二生肖）：Globelmposter又名十二生肖，十二主神，十二…他于2017年开始活跃，2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分，比如国内最常见的一个攻击者邮箱为China.Helper@aol.com

（5）WannaRen（已公开私钥）：WannaRen勒索家族的攻击报道最早于2020年4月，通过下载站进行传播，最终在受害者主机上运行，并加密几乎所有文件；同时屏幕会显示带有勒索信息的窗口，要求受害者支付赎金，但WannaRen始终未获得其要求的赎金金额，并于几天后公开密钥。

（6）Conti：Conti勒索家族的攻击最早追踪到2019年，作为“勒索软件即服务（RaaS）”，其幕后运营团伙管理着恶意软件和Tor站点，然后通过招募合作伙伴执行网络漏洞和加密设备。在近期，因为分赃不均，合作伙伴多次反水，直接爆料攻击工具、教学视频、以及部分源代码。

（7）WannaCry：WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播，WannaCry的出现也为勒索病毒开启了新的篇章。

（8）其他家族：当然，勒索病毒的家族远远不止如此。

人工分析

（1）通过加密格式来判断
（2）通过桌面的形式来判断
（3）通过勒索者的邮箱来判断家族
（4）通过勒索者留下的勒索信为例
（5）通过微步云沙箱/威胁情报/暗网论坛

平台分析

勒索病毒搜索引擎
360：http://lesuobingdu.360.cn
腾讯：https://guanjia.qq.com/pr/ls
奇安信：https://lesuobingdu.qianxin.com
启明星辰：https://lesuo.venuseye.com.cn
深信服：https://edr.sangfor.com.cn/#/information/ransom_search

5、勒索病毒有常见处置？

1、分析家族样本
2、有解密就解密(平台分析可以看下，加密后缀去网上搜下)
3、没解密找其他渠道(咸鱼、淘宝等、安全公司、专门做解密这块等)
4、处置封锁攻击入口

6、已公开解密工具

https://github.com/jiansiting/Decryption-Tools
https://mp.weixin.qq.com/s/LLqI6qzzkDzpPYJe4SXQCw

一、演示案例-Linux-GonnaCry-感染&识别&解密

样本：https://github.com/tarcisio-marinho/GonnaCry

二、演示案例-Windows-Satan3.X-感染&识别&解密

样本：https://bbs.pediy.com/thread-245987.htm





http://bbs.ikaka.com/showtopic-9353573.aspx

三、演示案例-Windows-WannaCry-感染&识别&解密

样本：https://bbs.pediy.com/thread-267595.htm






说是能恢复，但是都恢复失败。