学习使用

统计

登录

标签搜索

搜索到 3 篇与的结果 ———

勒索病毒-应急响应

勒索病毒-应急响应

勒索病毒0x00 前言勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后，各种变种及新型勒索病毒层出不穷。0x01 应急场景某天早上，网站管理员打开OA系统，首页访问异常，显示乱码：0x02 事件分析登录网站服务器进行排查，在站点目录下发现所有的脚本文件及附件都被加密为.sage结尾的文件，每个文件夹下都有一个!HELP_SOS.hta文件，打包了部分样本：打开!HELP_SOS.hta文件，显示如下：到这里，基本可以确认是服务器中了勒索病毒，上传样本到360勒索病毒网站（http://lesuobingdu.360.cn）进行分析：确认web服务器中了sage勒索病毒，目前暂时无法解密。绝大多数勒索病毒，是无法解密的，一旦被加密，即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作，数据库与源码分离（类似OA系统附件...

admin

2022-02-28

Windows应急响应,安全服务

951 阅读

0 评论

2022年02月28日

951 阅读

0 评论

ARP病毒-应急响应

ARP病毒-应急响应

ARP病毒0x00 前言　　ARP病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称，目前在局域网中较为常见。发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。0x01 应急场景　　某天早上，小伙伴给我发了一个微信，说192.168.64.76 CPU现在负载很高，在日志分析平台查看了一下这台服务器的相关日志，流量在某个时间点暴涨，发现大量137端口的UDP攻击。0x02 分析过程　　登录服务器，首先查看137端口对应的进程，进程ID为4对应的进程是SYSTEM，于是使用杀毒软件进行全盘查杀。卡巴斯基绿色版：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe卡巴斯基、360杀毒、McAfee查杀无果，手工将启动项、计划任务、服务项都翻了一遍，并未发现异常。本地下载了IpTool抓包工具，筛选条件：协议 UDP 端口 137可以明显的看出192.168.64.76发送的数据包是异常的，192.168.64....

admin

2022-02-27

Windows应急响应,安全服务

948 阅读

0 评论

2022年02月27日

948 阅读

0 评论

蠕虫病毒-应急响应

蠕虫病毒-应急响应

蠕虫病毒0x00 前言蠕虫病毒是一种十分古老的计算机病毒，它是一种自包含的程序（或是一套程序），通常通过网络途径传播，每入侵到一台新的计算机，它就在这台计算机上复制自己，并自动执行它自身的程序。常见的蠕虫病毒：熊猫烧香病毒、冲击波/震荡波病毒、conficker病毒等。0x01 应急场景某天早上，管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接，内网环境，无法连通外网，无图脑补。0x02 事件分析在出口防火墙看到的服务器内网IP，首先将中病毒的主机从内网断开，然后登录该服务器，打开D盾_web查杀查看端口连接情况，可以发现本地向外网IP发起大量的主动连接：通过端口异常，跟踪进程ID，可以找到该异常由svchost.exe windows服务主进程引起，svchost.exe向大量远程IP的445端口发送请求：这里我们推测可以系统进程被病毒感染，使用卡巴斯基病毒查杀工具，对全盘文件进行查杀，发现c:\windows\system32\qntofmhz.dll异常：使用多引擎在线病毒扫描（http://www.virscan.org/）对该文件进行扫...

admin

2022-02-17

Windows应急响应,安全服务

770 阅读

0 评论

2022年02月17日

770 阅读

0 评论

admin博主

访问 188642 ℃

81 文章数

8,302 评论量

热门文章

标签云

繁