如果有一天當你想開啟文件或者啟動程式卻無法開啟,磁碟檔案被修改和加密,電腦桌面的桌布被替換,畫面出現勒索資訊的提示,要求你支付贖金才能解密,那麼,恭喜你,這麼明顯的特徵,你中了勒索病毒!
什麼是應急響應?
通常指乙個組織未來應對各種意外事件的發生所做的準備以及在事件發生後所採取的措施。滲透測試是一種專業的安全服務,是針對目標烯烴入侵事件的實際演練。
安全事件:
ü 非授權訪問:乙個人在未經允許的情況下通過邏輯的或物理的方式訪問網路、系統、應用、資料或其他資源,表現為一種入侵行為。
ü 網路攻擊事件-拒絕服務攻擊:通過消耗cpu、記憶體、寬頻或磁碟空間等資源的方式來阻止和破壞已經經過授權的使用者對網路、系統等的正常使用。
ü 惡意程式事件惡意**:特洛伊木馬,殭屍網路,掛馬攻擊,勒索病毒等。
應急響應方式:
² 遠端應急:通過**、email等方式進行應急
² 本地應急:第一時間趕到客戶現場,查詢原因並解決相應問題,最後出具應急的報告
應急響應步驟
勒索病毒簡介:
ø 伴隨數字貨幣星期的一種新型病毒木馬:位元幣、達世幣等
ø 2008以前:鎖屏勒索
ø 2023年5月wannacry(永恆之藍勒索蠕蟲),勒索病毒已成為對政企機構和網民直接威脅最大的一類木馬病毒。
ø globelmposter、gandcrab、crysis等勒索病毒
ø 最新威脅:不支付贖金就公開資料
勒索病毒傳播方式
ø 利用漏洞:ms17-010,office,weblogic等漏洞
ø 釣魚郵件
ø 網頁掛馬
ø 手工植入
ø 暴力破解rdp
ø 暴力破解系統弱口令
ø 軟體綁馬等
globelmposter行為分析:
² 計算機使用者id並生成勒索檔案
² 寫入使用者金鑰寄id
² 永續性駐留:建立登錄檔檔案。設定開機自啟動
² 加密硬碟檔案
² 刪除卷影副本及遠端登入日誌
² 刪除自身
複製病毒檔案到指定目錄:
解密方式:
獲取黑客的私鑰,私鑰解密獲取使用者的私鑰,使用者的私鑰解密密文
下列三種情況可以通過網際網路上的解密工具完成
l 勒索病毒的涉及編碼存在漏洞或並未正確實現加密演算法
l 勒索病毒的製造者主動發布了金鑰或主金鑰
l 執法機構查獲帶有金鑰的伺服器,並進行了分享。
重點:解密之前必須備份重要資料
l 專業人員處理(第三方)
檢視》應急響應之勒索病毒應對措施
Window應急響應(三) 勒索病毒
勒索病毒,是一種新型電腦病毒,主要以郵件 程式木馬 網頁掛馬的形式進行傳播。該病毒性質惡劣 危害極大,一旦感染將給使用者帶來無法估量的損失。這種病毒利用各種加密演算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。自wannacry勒索病毒在全球爆發之後,各種變種及新型勒索病毒...
Window應急響應(四) 挖礦病毒
隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或伺服器進行挖礦,具體現象為電腦cpu佔用率高,c盤可使用空間驟降,電腦溫度公升高,風扇雜訊增大等問題。某天上午重啟伺服器的時候,發現程式啟動很慢,開啟任務管理器,發現cpu被占用接近100 伺服器...
Windows應急響應(五 挖礦病毒)
0x00 前言 隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或伺服器進行挖礦,具體現象為電腦cpu佔用率高,c盤可使用空間驟降,電腦溫度公升高,風扇雜訊增大等問題。0x01 應急場景 某天上午重啟伺服器的時候,發現程式啟動很慢,開啟任務管理器...