【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

admin 2025年1月30日02:46:11评论18 views字数 13604阅读45分20秒阅读模式

1.背景

1.1 家族介绍

Medusa家族是一种主要针对基于Windows环境的勒索软件即服务(RaaS),自2021年6月起活跃。该勒索软件在2023年初因其活动升级而广为人知,特别是与其专用泄露网站Medusa Blog(DLS)的推出密切相关。Medusa的大多数攻击集中在美国,但也在英国、加拿大、澳大利亚等国家造成了重大影响,涉及众多行业。其高价值目标主要包括医疗保健、制造业、教育和专业服务等领域。

1.2 平台介绍

Medusa暗网地址搭建于Tor网络,结构可分为三个主要页面:数据泄露页、泄露详情页和谈判页。数据泄露页用于展示所有受害者的基本信息和已泄露的数据摘要,泄露详情页则深入展示具体的泄露内容、受影响的系统或企业细节,以增加受害者的压力。而谈判页则为受害者与Medusa黑客团队提供了匿名的聊天渠道,供双方进行赎金谈判,通常通过加密的消息传递方式确保信息安全。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
数据泄露页
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
泄露详情页
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
meudsa谈判页面

2.恶意文件基础信息

2.1 加密器基本信息

文件名 47386EE20A6A94830EE4FA38B419A6F7.exe
编译器 msvc
大小 626 KB
操作系统 Windows(Vista)[AMD64, 64位, GUI]
模式 32 位
类型 EXEC
字节序 LE
MD5 47386ee20a6a94830ee4fa38b419a6f7
SHA1 ee4575cf9818636781677d63236d3dc65652deab
SHA256 736de79e0a2d08156bae608b2a3e63336829d59d38d61907642149a566ebd270

2.2 勒索信

$$      $$ $$$$$$$$ $$$$$$$  $$   $$  $$$$$$   $$$$$$  
$$$ $$$ |$$ _____|$$ __$$ $$ | $$ |$$ __$$ $$ __$$
$$$$ $$$$ |$$ | $$ | $$ |$$ | $$ |$$ / __|$$ / $$ |
$$$$$$ $$ |$$$$$ $$ | $$ |$$ | $$ |$$$$$$ $$$$$$$$ |
$$ $$$ $$ |$$ __| $$ | $$ |$$ | $$ | ____$$ $$ __$$ |
$$ |$ /$$ |$$ | $$ | $$ |$$ | $$ |$$ $$ |$$ | $$ |
$$ | _/ $$ |$$$$$$$$ $$$$$$$ |$$$$$$ |$$$$$$ |$$ | $$ |
__| __|________|_______/ ______/ ______/ __| __|
-----------------------------[ Hello, PetroChina !!! ]--------------------------

WHAT HAPPEND?
------------------------------------------------------------
1. We have PENETRATE your network and COPIED data.
* We have penetrated entire network including backup system and researched all about your data.
* And we have extracted all of your important and valuable data and copied them to private cloud storage.

2. We have ENCRYPTED your files.
While you are reading this message, it means all of your files and data has been ENCRYPTED by world's strongest ransomware.
All files have encrypted with new military-grade encryption algorithm and you can not decrypt your files.
But don't worry, we can decrypt your files.

There is only one possible way to get back your computers and servers - CONTACT us via LIVE CHAT and pay for the special
MEDUSA DECRYPTOR and DECRYPTION KEYs.
This MEDUSA DECRYPTOR will restore your entire network, This will take less than 1 business day.


WHAT GUARANTEES?
---------------------------------------------------------------
We can post your data to the public and send emails to your customers.
We have professional OSINTs and media team for leak data to telegram, facebook, twitter channels and top news websites.

You can suffer significant problems due disastrous consequences, leading to loss of valuable intellectual property and other sensitive information,
costly incident response efforts, information misuse/abuse, loss of customer trust, brand and reputational damage, legal and regulatory issues.

https://breached.vc/Forum-Leaks
https://www.nulled.to/#!Leaks
https://t.me/+yXOcSjVjI9tjM2E0

After paying for the data breach and decryption, we guarantee that your data will never be leaked and this is also for our reputation.

YOU should be AWARE!
---------------------------------------------------------------
We will speak only with an authorized person. It can be the CEO, top management, etc.
In case you ar not such a person - DON'T CONTACT US! Your decisions and action can result in serious harm to your company!
Inform your supervisors and stay calm!


If you do not contact us within 3 days, We will start publish your case to our official blog and everybody will start notice your incident!
--------------------[ Official blog tor address ]--------------------
Using TOR Browser(https://www.torproject.org/download/):

http://medus*******……uqsqyfry4ebnxlcbkccyd.onion/


CONTACT US!
----------------------[ Your company live chat address ]---------------------------
Using TOR Browser(https://www.torproject.org/download/):

http://medusaceg*******……sjcenhjena6uannk5f4xxxxxx.onion/6FpW****……

Or Use Tox Chat Program(https://qtox.github.io/)
Add user with our tox ID : 4AE***……

Our support email: ( [email protected] )

Company identification hash:

3.加密后文件分析

3.1 威胁分析

病毒家族 medusa家族
首次出现时间/捕获分析时间 2024.09.30 || 2025.01.15
威胁类型 勒索软件,加密病毒
加密文件扩展名 .MEDUSA
勒索信文件名 !!!READ_ME_MEDUSA!!!.txt
有无免费解密器?
联系邮箱 [email protected]
感染症状 无法打开存储在计算机上的文件,以前功能的文件现在具有不同的扩展名。被加密文件夹下会显示一条勒索要求消息。网络犯罪分子要求支付赎金来解锁您的文件。
感染方式 钓鱼邮件、web漏洞利用
受灾影响 所有文件都经过加密,如果不支付赎金就无法打开。其他密码窃取木马和恶意软件感染可以与勒索软件感染一起安装。

3.2 加密的测试文件

  1. sierting.txt(852字节)

加密前

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

加密后

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
  1. test1.bin(23,168,671字节)

加密前

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

文件的被加密数据以及未被加密数据的其中一部分

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
  1. test2.bin(1,048,576字节)

加密前

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

文件的被加密数据以及未被加密数据的其中一部分

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

加密文件名特征

加密文件名 = 原始文件名 + .MEDUSA

加密文件数据特征

  • 当文件的大小小于8kb时,全部加密
  • 大于8kb且小于20mb时,加密头尾各4kb数据
  • 大于20mb且小于92,160,000kb的时候,文件大小分成1,200kb每份,记录份数
  • 根据份数分块,分块为(份数*4kb)大小每块,每块头部加密4kb,剩余部分不加密
  • 组数大于76,800组(92,160,000kb)的时候,取76,800组
  • 加密数据后,写入文件特征及加密后的aes密钥

加密文件结构

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

加密算法

文件加密使用了aes256加密算法的cbc模式,对加密文件的aes密钥采用了rsa加密,使用sha256生成受害者id。

密钥生成

aes256密钥为32字节随机数,使用库函数rand生成,种子为时间加上当前被加密文件的序号,iv为硬编码,加密aes256用的rsa公钥也为硬编码,受害者id根据rsa公钥进行sha256哈希。

iv: bytes([0x23,0x9F,0xF2,0xA9,0xDE,0x93,0x20,0x2F,0x24,0xBB,0xA5,0xFA,0xE0,0xA3,0x36,0xB1])

rsa公钥(pkcs1格式):

-----BEGIN RSA PUBLIC KEY-----
MIIBCgKCAQEAlEpVMPiNfBL/oZwlAI4J0Qx72kjd4IHuQxL65BALk1QyPNvR76HrG
ppGus9qcuu3aFP5DJyPDHnrWh4rwDTTmwmFPmMI9Ay7L3GdOmTdG9pWVRS6aNi1mR
PLnMmLn3hSH1PtyILR9H3SdoBTG3WtbnWNXynkmePr8baV6e6cpuq5wv8b25uaUn2
MJVotvrdRLxhw+e5Nj70GnePuy41hFbmA/LfOB1A6CPqJ8Neh0z6GNw6g6uMjkAHD
ED9btZ/9j4QgsFvQdpADHzG4aZSJW0JHRMIoTpvsIS/Q0Nbfr6qKXPXGBr6KAl9I8
eSRmtMkaauRvZ9yg+nicAVn1fVeBQIDAQAB
-----END RSA PUBLIC KEY-----

id: fb74336df24a22672b18f99406fde485af1aa79ad57fa3c92725bfc223f72538

4.逆向分析

4.1 大致行为描述

运行病毒后,程序读取命令行中的配置,根据配置自定义病毒行为,如加密根目录,是否隐藏主程序,勒索信路径等等.然后根据选项运行powershell命令,杀死对病毒不利的杀软进程和服务,删除卷影备份,以一定的规则(白名单)遍历文件夹并加密,然后在被加密文件的文件夹下写入勒索信.最后根据自定义配置决定是否延迟删除自身。

4.2 流程图

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.3 进入主函数

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

输出start字符串。

4.4 命令行解析

读取命令行参数,根据参数执行相应代码。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

检测命令行是否为以下内容:

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
-V 输出版本
-d 自删除
-f 是否不包含系统目录
-i <path> 指定加密根目录
-k <path> 指定key文件路径
-n 感染网络驱动器
-p 执行"预处理"
-s 是否不包含系统驱动器
-t <path> 自定义勒索信路径
-v 隐藏黑窗口
-w <path> 设置powershell运行根目录
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.5 设置powershell执行策略

设置powershell执行策略,用于之后的命令执行,如延时自删除。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.6 加载密钥相关

如果有文件,就从文件读取密钥

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

如果没有,则解密常量.其中获取bios信息的代码,经分析发现未被使用。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

解密pkcs8格式rsa密钥,计算密钥的sha256,转为小写字符串作为用户id,再把该密钥转成pkcs1格式存储。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.7 解密勒索信

如果勒索信文件存在,则读取。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

不存在则解密默认勒索信。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.8 预处理

解密白名单后缀和一些服务和进程名.根据配置内容确定加密根目录,以及是否执行所谓预处理。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

执行所谓预处理,就是杀死对黑客不利的进程和删除卷影备份。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

使用解密后的powershell命令,杀死如下进程和服务:

"Acronis VSS Provider","Enterprise Client Service","Sophos Agent","Sophos AutoUpdate Service","Sophos Clean Service","Sophos Device Control Service","Sophos File Scanner Service","Sophos Health Service","Sophos MCS Agent","Sophos MCS Client","Sophos Message Router","Sophos Safestore Service","Sophos System Protection Service","Sophos Web Control Service","SQLsafe Backup Service","SQLsafe Filter Service","Symantec System Recovery","Veeam Backup Catalog Data Service","AcronisAgent","AcrSch2Svc","Antivirus","ARSM","BackupExecAgentAccelerator","BackupExecAgentBrowser","BackupExecDeviceMediaService","BackupExecJobEngine","BackupExecManagementService","BackupExecRPCService","BackupExecVSSProvider","bedbg","DCAgent","EPSecurityService","EPUpdateService","EraserSvc11710","EsgShKernel","FA_Scheduler","IISAdmin","IMAP4Svc","macmnsvc","masvc","MBAMService","MBEndpointAgent","McAfeeEngineService","McAfeeFramework","McAfeeFrameworkMcAfeeFramework","McShield","McTaskManager","mfemms","mfevtp","MMS","mozyprobackup","MsDtsServer","MsDtsServer100","MsDtsServer110","MSExchangeES","MSExchangeIS","MSExchangeMGMT","MSExchangeMTA","MSExchangeSA","MSExchangeSRS","MSOLAP$SQL_2008","MSOLAP$SYSTEM_BGC","MSOLAP$TPS","MSOLAP$TPSAMA","MSSQL$BKUPEXEC","MSSQL$ECWDB2","MSSQL$PRACTICEMGT","MSSQL$PRACTTICEBGC","MSSQL$PROFXENGAGEMENT","MSSQL$SBSMONITORING","MSSQL$SHAREPOINT","MSSQL$SQL_2008","MSSQL$SYSTEM_BGC","MSSQL$TPS","MSSQL$TPSAMA","MSSQL$VEEAMSQL2008R2","MSSQL$VEEAMSQL2012","MSSQLFDLauncher","MSSQLFDLauncher$PROFXENGAGEMENT","MSSQLFDLauncher$SBSMONITORING","MSSQLFDLauncher$SHAREPOINT","MSSQLFDLauncher$SQL_2008","MSSQLFDLauncher$SYSTEM_BGC","MSSQLFDLauncher$TPS","MSSQLFDLauncher$TPSAMA","MSSQLSERVER","MSSQLServerADHelper100","MSSQLServerOLAPService","MySQL80","MySQL57","ntrtscan","OracleClientCache80","PDVFSService","POP3Svc","ReportServer","ReportServer$SQL_2008","ReportServer$SYSTEM_BGC","ReportServer$TPS","ReportServer$TPSAMA","RESvc","sacsvr","SamSs","SAVAdminService","SAVService","SDRSVC","SepMasterService","ShMonitor","Smcinst","SmcService","SMTPSvc","SNAC","SntpService","sophossps","SQLAgent$BKUPEXEC","SQLAgent$ECWDB2","SQLAgent$PRACTTICEBGC","SQLAgent$PRACTTICEMGT","SQLAgent$PROFXENGAGEMENT","SQLAgent$SBSMONITORING","SQLAgent$SHAREPOINT","SQLAgent$SQL_2008","SQLAgent$SYSTEM_BGC","SQLAgent$TPS","SQLAgent$TPSAMA","SQLAgent$VEEAMSQL2008R2","SQLAgent$VEEAMSQL2012","SQLBrowser","SQLSafeOLRService","SQLSERVERAGENT","SQLTELEMETRY","SQLTELEMETRY$ECWDB2","SQLWriter","SstpSvc","svcGenericHost","swi_filter","swi_service","swi_update_64","TmCCSF","tmlisten","TrueKey","TrueKeyScheduler","TrueKeyServiceHelper","UI0Detect","VeeamBackupSvc","VeeamBrokerSvc","VeeamCatalogSvc","VeeamCloudSvc","VeeamDeploymentService","VeeamDeploySvc","VeeamEnterpriseManagerSvc","VeeamMountSvc","VeeamNFSSvc","VeeamRESTSvc","VeeamTransportSvc","W3Svc","wbengine","WRSVC","MSSQL$VEEAMSQL2008R2","SQLAgent$VEEAMSQL2008R2","VeeamHvIntegrationSvc","swi_update","SQLAgent$CXDB","SQLAgent$CITRIX_METAFRAME","SQL Backups","MSSQL$PROD","Zoolz 2 Service","MSSQLServerADHelper","SQLAgent$PROD","msftesql$PROD","NetMsmqActivator","EhttpSrv","ekrn","ESHASRV","MSSQL$SOPHOS","SQLAgent$SOPHOS","AVP","klnagent","MSSQL$SQLEXPRESS","SQLAgent$SQLEXPRESS","wbengine","kavfsslp","KAVFSGT","KAVFS","mfefire","zoolz.exe","agntsvc.exe","dbeng50.exe","dbsnmp.exe","encsvc.exe","excel.exe","firefoxconfig.exe","infopath.exe","isqlplussvc.exe","msaccess.exe","msftesql.exe","mspub.exe","mydesktopqos.exe","mydesktopservice.exe","mysqld.exe","mysqld-nt.exe","mysqld-opt.exe","ocautoupds.exe","ocomm.exe","ocssd.exe","onenote.exe","oracle.exe","outlook.exe","powerpnt.exe","sqbcoreservice.exe","sqlagent.exe","sqlbrowser.exe","sqlservr.exe","sqlwriter.exe","steam.exe","synctime.exe","tbirdconfig.exe","thebat.exe","thebat64.exe","thunderbird.exe","visio.exe","winword.exe","wordpad.exe","xfssvccon.exe","tmlisten.exe","PccNTMon.exe","CNTAoSMgr.exe","Ntrtscan.exe","mbamtray.exe"
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

删除卷影备份。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.9 遍历驱动器

遍历系统的驱动器列表,根据自定义的是否加密网络文件开关,选择性地忽略网络驱动器(DRIVE_REMOTE)。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.10 加密文件

判断加密系统驱动器或加密系统目录选项是否开启。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

是则加密指定目录下的文件.白名单路径和文件名如下:

"Windows","Windows.old","PerfLogs","MSOCache","Program Files","Program Files (x86)","ProgramData","\AppData\Local\Temp\","\AppData\LocalLow\","\AppData\Roaming\","\Users\All Users\"
"desktop.ini","Thumbs.db"
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

使用c++事务加密文件.入口点需要在汇编模式才能看到。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

设置文件属性为非只读。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

过滤一些白名单。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

根据后缀判断是否加密过文件。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

加密主要逻辑,使用了aes,aes使用windows自带api(cng)实现.使用硬编码的iv加密,加密结果写入文件.写入加密内容后,写入文件的尾部信息(格式上文有给出).最后在源文件名字符串后加上".MEDUSA"作为新文件名,使用MovFile替换源文件。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

同时写入勒索信。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

4.11 结束工作

计算并显示加密所用时间,再根据配置决定是否自删除。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析
【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

使用powershell命令执行延时自删除。

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

5.病毒分析概览

主要的行为流程可以总结为:病毒启动后根据命令行配置定制行为,包括选择加密根目录、隐藏主程序、指定勒索信路径等,同时执行PowerShell命令结束反病毒进程、删除卷影备份,并通过命令行解析控制具体操作。病毒会设置PowerShell执行策略确保后续命令顺利执行,加载加密密钥并使用RSA算法加密存储密钥。如果勒索信文件存在,病毒读取并使用其中内容;若无,则解密默认勒索信。加密前,病毒会结束不利进程和删除备份,随后通过白名单规则遍历并加密文件,同时在每个加密文件所在的文件夹写入勒索信。文件加密的方式根据文件大小不同而有所区别。最后,根据配置,病毒可能延迟自删除以清除痕迹。

6.参考文章

https://www.attackiq.com/2024/09/19/emulating-medusa-ransomware/

https://thehackernews.com/2024/01/medusa-ransomware-on-rise-from-data.html

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-181a

https://www.vectra.ai/threat-actors/medusa

https://www.reliaquest.com/blog/medusa-attack-analysis/

以下是solar安全团队近期处理过的常见勒索病毒后缀:

出现时间 病毒名称 相关文章
2024/11 .rox 【病毒分析】新崛起的weaxor勒索家族:疑似mallox家族衍生版,深度解析两者关联!
2024/10/23 RansomHub 【病毒分析】RansomHub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析
2024/11 Fx9 【病毒分析】Fx9家族首次现身!使用中文勒索信,熟练勒索谈判
2020/1 .mkp 【病毒分析】揭秘.mkp后缀勒索病毒!Makop家族变种如何进行可视化加密?
2024/5 .moneyistime 【病毒分析】使用中文勒索信及沟通:MoneyIsTime 勒索家族的本地化语言转变及其样本分析
2024/9/29 .lol 【病毒分析】全网首发!全面剖析.LOL勒索病毒,无需缴纳赎金,破解方案敬请期待下篇!
【工具分享】.LOL勒索病毒再也不怕!完整破解教程分享+免费恢复工具首发
2024/6/21 .MBRlock 【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法
2024/6/1 .steloj 【病毒分析】Steloj勒索病毒分析
2024/5/27 .TargetOwner 【病毒分析】技术全面升级,勒索赎金翻倍,新版本TargetOwner勒索家族强势来袭?
2024/5/17 .Lockbit 3.0 【病毒分析】Lockbit家族Lockbit 3.0加密器分析
【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告
【病毒分析】繁体勒索信暗藏玄机!要价50万RMB赎金的Lockbit泄露版分析
2024/5/13 .wormhole 【病毒分析】Wormhole勒索病毒分析
2024/4/9 .bianlian 【病毒分析】新兴TOP2勒索软件!存在中国受害者的BianLian勒索软件解密原理剖析
2024/3/20 .locked 【病毒分析】locked勒索病毒分析
2024/3/11 .Live1.5 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5(全版本可解密)
2024/3/8 .Live2.0 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密)
2024/3/6 .Elbie 【病毒分析】phobos家族Elbie变种加密器分析报告
2024/3/1 .lvt 【病毒分析】交了赎金也无法恢复--针对国内某知名NAS的LVT勒索病毒最新分析
2024/2/26 0.27 【病毒分析】phobos家族2700变种加密器分析报告
【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
2024/1/18 ._locked 中国人不骗中国人?_locked勒索病毒分析
2024/1/15 .faust 【病毒分析】phobos家族faust变种加密器分析
2024/1/15 .DevicData 【病毒分析】DevicData勒索病毒分析
2024/1/2 .jopanaxye 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
2023/12/1 .live1.0 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密)
2023/9/5 .CryptoBytes 【独家破解】揭秘境外黑客组织的20美元锁机病毒:深度逆向分析+破解攻略!赎金?给你付个🥚
2023/8/28 .mallox 【病毒分析】mallox家族malloxx变种加密器分析报告
【病毒分析】Mallox勒索家族新版本:加密算法全面解析
【病毒分析】全网首发!袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享
2023/8/2 .rmallox 【病毒分析】mallox家族rmallox变种加密器分析报告
【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
2023/1/10 .DevicData-Pa2a9e9c 【病毒分析】DevicData家族扩散:全球企业和机构成为勒索病毒头号攻击目标!
2023年初 .halo 【病毒分析】全网首发!以国内某安全厂商名字为后缀的勒索病毒分析
2021/5/1 .mallox 【病毒分析】Mallox家族再进化:首次瞄准Linux,勒索新版本全面揭秘!
2021/1月初 .babyk 【病毒分析】BabyK加密器分析-Windows篇
【病毒分析】Babyk加密器分析-NAS篇
【病毒分析】 Babyk加密器分析-EXSI篇
【病毒分析】Babuk家族babyk勒索病毒分析
【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
2020/5/18 .consultraskey-F-XXXX 【成功案例】解决浙江xx电子有限公司的勒索病毒
2019/5/1 .src 【病毒分析】Phobos家族新变种 .SRC深度分析:揭示持续演变的勒索新威胁

攻击手法分析篇专注于剖析真实的攻击案例,通过还原勒索病毒家族的具体攻击路径和策略,为用户提供深度溯源分析,同时结合典型案例总结防护启示,帮助用户提高安全意识和防御能力。

时间 相关文章
2024/12/12 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第二篇-流量致盲,无声突破
2024/12/11 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命

教程分享篇聚焦于实际的安全防护方法,通过定期进行基线加固、及时更新补丁和备份数据等措施,为企业提供具体的操作指南,并在此基础上加强公司安全人员的意识培训,帮助企业有效防范勒索病毒的威胁。

时间 相关文章
2024/6/27 【教程分享】勒索病毒来袭!教你如何做好数据防护
2024/6/24 【教程分享】服务器数据文件备份教程

案例介绍篇聚焦于真实的攻击事件,还原病毒家族的攻击路径和策略,为用户提供详细的溯源分析和防护启示;

时间 相关文章
2024/7/10 【案例介绍】赎金提高,防御失效:某上市企业两年内两度陷入同一勒索团伙之手

        漏洞与预防篇侧重于技术层面的防御手段,针对病毒利用的漏洞和安全弱点,提出操作性强的应对方案:

时间 相关文章
2025/1/8 【漏洞与预防】RDP弱口令漏洞预防
2025/1/21 【漏洞与预防】MSSQL数据库弱口令漏洞预防

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明,旨在帮助读者快速掌握这些工具的操作流程与技巧,提高其在实际应急场景中的应用熟练度与效率。

时间 相关文章
2025/1/10 【应急响应工具教程】Splunk安装与使用

如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。

更多资讯 扫码加入群组交流

【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析

喜欢此内容的人还喜欢

【文章转载】“劣质枪支”勒索软件:麻雀虽小,威力犹存

索勒安全团队

【漏洞与预防】MSSQL数据库弱口令漏洞预防

索勒安全团队

【病毒分析】R3强杀360:深度揭秘银狐远控病毒的技术演进

索勒安全团队

原文始发于微信公众号(solar应急响应团队):【病毒分析】“美杜莎”勒索家族:从入侵到结束的全流程深度解析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月30日02:46:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【病毒分析】美杜莎勒索家族:从入侵到结束的全流程深度解析https://cn-sec.com/archives/3664283.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息