几种勒索病毒及排查方式
常见
1
ananCry勒索病毒
常见后缀:wncry
传播方法:ms17-010
特征:启动时会连接一个不存在的Url,创建系统服务mssecsvc2.0,释放路径为Windows目录
2
Globelmposter勒索病毒
传播方式:钓鱼邮件 RDP暴力破解 捆绑软件
常见后缀:auchentoshan 动物名+4444
特征:释放在%appdata%或%localappdata%
3
Crysis/Gharma勒索病毒
常见后缀:id+勒索邮箱+特定后缀
传播方法:RDP暴力破解
特征:勒索信所在位置在startup目录,样本位置在%windir%system32,startup目录,%appdata%目录
4
GandCrab勒索病毒
常见后缀:随机生成
传播方式:RDP暴力破解 钓鱼邮件 捆绑软件 僵尸网络 漏洞传播
特征:样本执行完毕后自行删除,并会修改感染主机的桌面背景,有后缀MANUAL.txt DECRYPT.txt
5
Satan勒索病毒
常见后缀:evopro sick
传播方法:永恒之蓝 RDP暴力破解 Jboss漏洞 Tomcat漏洞 Weblogic组件漏洞
特征:无法解密
6
Sacrab勒索病毒
常见后缀:krab ascrab bomber crash
传播方法:Necurs僵尸网络 RDP暴力破解,钓鱼邮件
特征:样本释放位置在%appdata%roaming
7
Matrix勒索病毒
常见后缀:grhan prcp spct pedant
传播方法:RDP暴力破解
8
Stop勒索病毒
常见后缀:tro djvu puma pumas pumax djvuq
传播方法:钓鱼邮件 捆绑软件 RDP暴力破解
特征:样本释放位置在%appdata%local随机名称
9
Paradise勒索病毒
常见后缀:文件名_%ID字符串%_{勒索邮箱}.特定后缀
特征:将勒索弹窗和自身释放到startup启动目录
勒索病毒利用的常见漏洞
RDP协议弱密码暴力破解
Win32k提权漏洞(CVE-2018-8120)
Windows ALPC提权漏洞CVE-2018-8440
Windows内核信息泄露CVE-2018-0896
Webligic反序列化漏洞CVE-2017-3248
Apache Struts2远程代码执行漏洞S2-057 S2-045
WebligicWLS组件漏洞CVE-2017-10271
Windows SMB远程代码执行漏洞MS17-010
JBoss默认配置漏洞CVE-2010-0783
JBoss反序列化漏洞CVE-2013-4810
JBoss反序列化漏洞CVE-2017-12149
Tomcat Web管理后台弱口令爆破
WinRAR 代码执行漏洞CVE-2018-20250
Nexus远程代码执行漏洞CVE-2019-7283
Spring Data Commons 远程命令执行漏洞CVE-2018-1273
专属邀请码:222222
注册地址:https://study.higc.cn/
END
长按识别图片 关注我们
原文始发于微信公众号(河北镌远网络科技有限公司):几种勒索病毒及排查方式
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论