韭要记录一次真实Windows勒索病毒应急

admin
admin
admin
138891
文章
114
评论
2023年7月6日09:09:46评论6 views字数 2250阅读7分30秒阅读模式

温馨提示:本文无任何技术含量,纯当看个大概流程,让没接触过勒索病毒的可以了解到怎么处理,正常情况下碰到的95%以上都解不回来的,整点死马当活马医的方法。。

不过本文会公布一个至今公网没公布的勒索组织新的联系邮箱,方便各位专门做跟踪溯源勒索组织的团队用作关联。

话不多说,开始:

背景:某个阳光明媚的一天,午休期间,突然接到了领导通知,某单位中了勒索病毒,需要去看看,考虑可能有后续项目的机会。

出发:

韭要记录一次真实Windows勒索病毒应急

 

韭要记录一次真实Windows勒索病毒应急

韭要记录一次真实Windows勒索病毒应急

(坐公交去应急。。。我感觉我需要应急。。。和文章开头的阳光明媚的一天产生了强烈的对比,表达了作者的思乡之情)

去到现场了解:

1windows server 2012 r2系统中了勒索病毒,该系统对外开了web服务,而且对外应用系统很旧。。。(非官网那种对外,就是A公司专门开给B公司用的,简单理解为公网能访问的OA吧)。。。没做备份且没有上任何安全产品。。。有一个记录了流量走向的路由器设备但没任何帮助。。。了解到是放假前还能正常使用,放假回来后发现被勒索了(定了被勒索的大概时间)。。。勒索金额是0.XX BTC(小几万RMB)。。。

然后让运维人员对其他关联系统做了备份,中病毒的系统做了物理隔离(拔网线)。。。

该勒索病毒是.locked后缀名锁文件,新建的文件不会锁。。。

拿了客户一个空U盘,取了几个被锁文件样本和勒索文件以及近30日志(其实根据大概时间找近几天的就行,想法是会不会提前打了进来潜伏了一段时间才放勒索病毒的就拿多点日志)。。。也只能拿日志了,没有流量记录设备。。。

勒索文件的内容如下:

韭要记录一次真实Windows勒索病毒应急

钱包地址:bc1ql8an5slxutu3yjyu9rvhsfcpv29tsfhv3j9lr4 【公网有检索到有团队说可以解,不过文章发布时间是中勒索病毒时间的最近几天,有理由怀疑他们就是放毒的】

邮箱:[email protected]  【新邮箱,公网没发现相关披露案例】

根据钱包地址检索到一个之前勒索用的旧邮箱:

[email protected] 【旧邮箱,公网可检索到披露的案例】

韭要记录一次真实Windows勒索病毒应急

根据旧邮箱地址检索到该团伙在202212月有活跃被披露:

韭要记录一次真实Windows勒索病毒应急

且发现有团队对外称可以解密(不排除该解密团队就是放病毒团队的可能):

韭要记录一次真实Windows勒索病毒应急

韭要记录一次真实Windows勒索病毒应急

韭要记录一次真实Windows勒索病毒应急

 

下面是用被锁文件上传到各个勒索病毒搜索引擎:

360勒索病毒搜索引擎:https://lesuobingdu.360.cn/

韭要记录一次真实Windows勒索病毒应急

腾讯勒索病毒搜索引擎:https://guanjia.qq.com/pr/ls/

韭要记录一次真实Windows勒索病毒应急

VenusEye勒索病毒搜索引擎:https://lesuo.venuseye.com.cn/

韭要记录一次真实Windows勒索病毒应急

奇安信勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/index/getFile

韭要记录一次真实Windows勒索病毒应急

深信服勒索病毒搜索引擎:https://edr.sangfor.com.cn/#/information/ransom_search

韭要记录一次真实Windows勒索病毒应急

ransomware勒索病毒识别检测:https://id-ransomware.malwarehunterteam.com/

卡巴斯基勒索病毒解密:https://noransom.kaspersky.com/

nomoreransom勒索软件解密:https://www.nomoreransom.org/zh/index.html

Emsisoft勒索软件解密工具集:https://www.emsisoft.com/decrypter/

Trendmicro勒索软件解密:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/Tools/RansomwareFileDecryptor/

【可根据上面勒索病毒搜索引擎分析出可能中了哪个勒索病毒家族的,再看看有没有对应的解密工具一个个去试,死马当活马医】

解密的可能性很小,且不排除解密不全或解密期间丢失数据的可能。。。

最后,因为客户的运维说应用系统都很旧,有要推倒重建的打算,所以找到突破口打补丁并不是那么完美的处理。。。客户这边也没对被锁数据进行价值研判。。。就先对客户给出以下几点建议:

1.给勒索组织交钱(淘宝有代缴费,而且好像可以代砍价),不建议,怕不给予解密或者再次放病毒。

2.检索到有组织号称可以解,不排除该组织就是放病毒的组织,也有专门做数据恢复的团队,就算能解也不确定是否能100%恢复数据。

3.有部分公网工具有可能解密成功,逐个工具去试,数据不一定完全恢复且可能会丢失数据,如:360安全卫士的功能大全里有个360解密大师,或是勒索病毒搜索引擎给出的工具。(重装前的垂死挣扎)

4.重置系统,对外应用服务推倒重建加安全产品预防,新系统上线前做安全测试。(如果数据价值没大么大但系统还是需要对外应用的话)

(数据价值不大的话最优解当然是推倒重建,对外应用换上新的框架再加安全产品等。。如果旧应用依旧想用也可以尝试通过日志找被突破进来的点打再补丁,但我感觉旧系统要搞的东西挺多的。。其实就算给钱解密成功了,旧系统也依然建议升级)

文章到此就结束了。。。其实这一套下来,总感觉自己好像漏做了点什么或者给客户的建议缺少了点什么。。因为场景原因这并不是一次完整的应急过程。。各位师傅如果对于这次过程有什么好的建议可以公众号私信我,我也是第一次真实场景碰到勒索病毒。。。如果各位大佬对病毒样本有兴趣分析一下的话可以通过公众号私信我。。。

 

 

原文始发于微信公众号(韭要学安全):韭要记录一次真实Windows勒索病毒应急

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月6日09:09:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   韭要记录一次真实Windows勒索病毒应急https://cn-sec.com/archives/1902926.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息