木马病毒分析

一、病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的，该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管，当这些人下载了邮件里的附件，解压邮件附件运行如.src等格式的文件以后，电脑里很多格式的文件都会被加密，并且还会出现如下的提示画面（图1）以及桌面壁纸被修改（图2）所示。 一、病毒信息 病毒名称：Trojan-Downloader.Win32.Cabby.cbtj 样本名称：ranking.scr 样本大小：28672 字节 样本MD5：AB29C66146FEE3A7EC055B1961087256 样本SHA1：BF377E3CD54B9EF3FC0EBCA2240DE4A49638A883 二、病毒脱壳 CTB-LOCKER敲诈者病毒有两部分组成，暂时只分析该病毒的下载器部分。CTB-LOCKER病毒的下载器程序文件的反汇编指令中有很多的垃圾指令，不是那么容易上手分析，加入垃圾指令目的是为了阻止病毒分析人员的分析，但是需要强调的是该样本 中虽然有很多的垃圾指令，脱壳还是很有规律的，并且脱壳以后的PE文件还是比较容易反汇编的。 下面是OD直接反汇编的截图： CTB-LOCKER敲诈者病毒样本脱壳调试的时候有一个比较明显的特点：OD动态调试时，应该在跳转指令如Jmp和一些关键Call调用的地方下F2断点，接着F9运行，然后再继续在跳转指令如Jmp和一些关键Call调用的地方下F…

真题题目：《计算机病毒及防御》 真题出处：2019 年下 内容： 一、什么是计算机病毒 我们把能够引起计算机故障、破坏计算机资料，并能自我复制、传播的程序，都归到“计算 机病毒”的范畴之中。计算机病毒也被称为“有害代码”。我国在 1994 年 2 月 28 日颁布的 《中华人民共和国计算机信息系统安全保护条例》的第二十八条中，对计算机病毒作了明确 的定义：计算机病毒，是指编制或者在计算机程序中插人的破坏计算机功能或者毁坏数据、 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 交流： （1）每 3~5 人为一小组，谈谈自己或身边发生过的因计算机病毒引发故障的例子，分析为 什么会出现这些情况，将结果填写在表 6-3 中。 （2）分析计算机病毒有什么样的特征，将讨论的结果写下来。 二、计算机病毒的特点 计算机病毒本质是一种特殊的程序。在图中列出了计算机病毒的一些特点。 三、计算机病毒的防治 任务：每 3~5 人为一小组，从下列活动项目中选择一项或几项开展活动，然后进行交流，总 结出采用什么方法、措施才能切实有效地防治计算机病毒。 活动 1：查找目前国内外比较有名的杀毒软件。 活动 2：上网查找与计算机病毒有关的网站，列举你所知道的近年来传播范围较广、造成危 害较大的计算机病毒，以及对该病毒的防治方法。 活动 3：在一台计算机上安装一种杀毒软件，学会及时更新病毒库，并利用安装好的防病毒 软件对计算机进行扫描，查看有没有中毒，并列出病毒的名称和处理方法。 试讲要求： （1）请在 10 分钟内完成试讲。 （2）配合讲解进行必要的板书…

导语 经常有用户报障系统被植入恶意程序，如挖矿软件、ddos攻击病毒、syn映射攻击病毒等，可以按照以下流程为用户排查入侵病毒类型： 一、定位病毒进程 对于用户反馈云主机性能卡顿，CPU和内存占用较高的情况： 执行TOP命令，查看占用CPU较高的异常进程，一般多为80%以上，有个别病毒占用CPU可能不高，但是从command名称明显不是系统进程或用户进程，如TSM，Lixsyn，ynlyvtpxia等。 如图所示： 注意运行异常进程的用户，大部分为root，也有可能为其他应用用户，一般为可以登录系统的用户，病毒破解用户登录密码后使用该用户登录系统，根据入侵的用户的权限等将病毒程序上传到不同目录，此类病毒一般具有防止被删除和进程自动启动的功能。 即无法从目录中删除，删除后还会自动恢复。使用Kill -9命令清理进程后片刻会再次自动启动该进程。 上图红框中的即为病毒程序，虽然占用CPU和出网带宽不高，但是仍然具有防止删除和自动启动的特征。 找到进程后记录PID进程号，后续定位病毒程序未知会用到。 对于用户反馈连接云主机卡顿，但CPU和内存占用不高的情况，可能是云主机出网带宽跑满导致。此时ping云主机公网IP会出现大量丢包。 通过VNC连接云主机，使用iftop命令可以定位到占用带宽较高的进程（iftop命令使用教程可参考文档《Linux流量监控工具 - iftop (最全面的iftop教程)》： https://developer.jdcloud.com/article/1729），一般多为同一端口有大量外部公网I…

时隔4个月后，瑞星杀毒造假案又有了戏剧性的变化。 近日，瑞星杀毒造假案的主角——北京市公安局网监处原处长于兵的二审结果仍维持一审的死缓判决。而据于兵的最新供认资料，相当一部分病毒是杀毒软件公司自己的科技力量研制的。于兵供认，瑞星公司向其行贿时就提出条件，由公安机关发出病毒警报，提示用户下载该公司杀毒软件进行杀毒，而病毒则是由瑞星公司“研制”的。 “其实这是杀毒软件行业里的公开秘密。”国内一家知名PC厂家高层昨日对《第一财经日报》表示，制造病毒和查杀病毒有点像间谍和反间谍游戏，如果没有病毒，查杀病毒也无从谈起。只有病毒越多越厉害，杀毒软件才能更畅销。所以杀毒软件一般都会有专门制造病毒的研发人员，这样做也有助于公司查杀病毒技术的提升。 “你简单想想，很多病毒预警都是说，最近会有什么病毒将要大规模漫延，而正好又有什么品牌的杀毒软件可以查杀。或者有些病毒今天才出来，第二天就有某个杀毒软件宣称，可以查该病毒。”该高层说，这些杀毒软件厂家真的太及时了，他们怎么知道病毒要漫延，除非自己测试过其威力。只有那些真实属于病毒制造爱好者制造的CIH和熊猫烧香等病毒，才会让杀毒软件厂家忙上几天，才拿得出查杀方案。”据悉，该高层曾被杀毒软件厂家看中，所以他才知道这些游戏潜规则。 行业内公开的秘密 或许正是基于此游戏潜规则，当时于兵才肆无忌惮地炮制“全国首例故意传播网络病毒案件”，因为于兵也不相信东方微点公司不会用到行业潜规则。 根据媒体报道，瑞星公司与北京市公安局网监处的关系一向颇为紧密，双方长期联合发布每日的病毒预警信息，一直引起行业内其他公司的不满…

首先感谢一下小小青的排版,感谢 1．样本概况 1.1 样本信息 病毒名称：熊猫烧香 所属家族：感染蠕虫木马 MD5值：512301c535c88255c9a252fdf70b7a03 SHA1值：ca3a1070cff311c0ba40ab60a8fe3266cfefe870 CRC32：e334747c 1.2 测试环境及工具 运行环境:Win7 x86 虚拟机 分析工具: 火绒剑:分析病毒行为 Exeinfope:查壳 ImpREC:修复脱壳后文件的导入表 PCHunter:查看进程信息,手动查杀等 OllyDbg:动态调试 IDA Pro:静态分析 010Editor:查看病毒插入的信息 1.3 分析目标 找到病毒行为的具体实现代码，了解病毒行为的具体实现原理，知道病毒对机器的执行具体行为，进一步评估病毒对于宿主机器的威胁程度。 2．具体行为分析 2.1 主要行为 病毒行为1:拷贝自身到C:\Windows\System32\drivers目录， 病毒行为2:遍历磁盘，在每个文件夹生成Desktop_.ini文件; 病毒行为3:删除.gho备份文件； 病毒行为4:感染exe/scr/pif/com/htm/html/asp/php/jsp/aspx文件； 病毒行为5;建立启动项，禁止显示隐藏文件； 病毒行为6:下载http://www.ac86.cn/66/up.txt文件，下载病毒； 病毒行为7:删除磁盘共享； 病毒行为8:遍历服务，关闭安全中心等； 病毒行为9:遍历注…

第三节、黑客/病毒群体行为和产业链分析 从瑞星公司的统计、研究数据来看，黑客/病毒产业链在近一两年有进一步的发展和完善，窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号……等等，任何可以换成金钱的东西，都成为黑客窃取的对象。同时越来越多的黑客团伙利用电脑病毒构建“僵尸网络”（Botnet），用于敲诈和受雇攻击等非法牟利行为。 由于互联网上的病毒地下交易市场初步形成，获取利益的渠道更为广泛，病毒模块、僵尸网络、被攻陷的服务器管理权等等都被用来出售，很多国内黑客开始利用拍卖网站、聊天室、地下社区等渠道，寻找买主和合作伙伴，取得现金收入，整个行业进入“良性循环”，使一大批人才、技术和资金进入这个黑色行业。 一年前流氓软件肆虐的时期，众多商业公司雇佣程序员编写和电脑病毒拥有类似行为特征的流氓软件，在全社会的声讨和瑞星等安全厂商的努力下，大部分商业公司已经停止了制造、发布流氓软件，但是还有少数公司和流氓软件编写者以更隐蔽、更大胆的方式继续制造流氓软件乃至纯粹的电脑病毒。由于他们在正常的网络和商业社会中拥有大量的资源，能起到黑白两个领域的中间桥梁作用，因此极大地促进了黑客/病毒产业链的发展。 一、黑客/病毒产业链 http://it.rising.com.cn/Channels/imgs/h000/h11/img200707251048180.png [点击查看大图] 典型流程（1）：黑客侵入个人/企业电脑—窃取机密资料—在互联网上出售——获取金钱。 典型流程（2）：黑客侵入大型…

网易科技讯 2月28日讯，金山往日宣布了互联网十大病毒集体名单，并称将于近期上报有关局部。据此前金猴子布的《2010-2011中国互联网静谧岑寂僻静研讨陈诉》发挥分析，病毒集体控制了80%的流传渠道。仅流量一项，前10大集体年收益就达1.5亿元。 金山供应的质料发挥分析，排名前十的病毒集体拜别为：黄飞虎集体、HYC集体、HY集体、老蛇集体、192集体、GZWZ集体、CL集体、张峰集体、WG集体、安妮集体。眼前当今生动在国际病毒家产链上的犯罪集体凌驾30个，但调集度较高，前五大集体控制了凌驾60%的市场。 病毒集体更新迭代敏捷，排位每每出现变革。如张峰集体，2009年排名第四，而眼前当今曾经下滑到第八位。 据分明明明，眼前当今病毒集体流传的病毒，其次要破坏活动次要有如下几种：篡改阅读器，弹出告白、在桌面熟成购物网站的快捷体例，推行钓鱼欺诈网站、篡改主页、推行互联网软件，赚取推行费、下载安装盗号木马，窃取编造物品、批改阅读器收藏夹。病毒集体的次要目的是导入流量、推行游戏客户端，有病毒集体外部人士称，仅靠流量一项，排名前十的集体每年收益就凌驾1.5亿元。（浩宇） (本文滥觞：网易科技报道 ) http://img1.cache.netease.com/tech/img07/end_i.gif

一种观点认为，防病毒与安全供应商们在与网络罪犯们的战斗中正逐步失去主动。黑客们的网络爬虫正越来越多的偷偷潜入计算机，植入恶意程序，打开计算机发送远程攻击指令，并把它们变为僵尸网络的僵尸军团。 造成这个局面的根本原因在于，现在大多数计算机依然还是通过防病毒软件提供的病毒特征库（或称病毒签名库）来防范恶意软件。在这种传统的方式下，计算机通过病毒库中的特征码来识别文件中是否存在恶意软件代码，而这显然只能识别已知的病毒。但目前的情况是，每天都有成千上万的新病毒诞生，在这些病毒中，有许多进行了分段加密，或以其他方式进行藏匿或变种。在这种情况下，病毒特征库必须要进行频繁的在线更新，但即使是这样，许多新病毒仍然会漏网。 面对这种情况，安全供应商们开始将注意力转向为基于行为的检测方法，用以确定新的病毒。新推出的防病毒软件将把重点放在监测行为是否可疑上，比如一个程序是否试图将数据写入可执行的程序。 反病毒与互联网安全供应商AVG日前推出了身份保护软件AVG Identity Protection，该软件将重点分析病毒程序的行为和特点，如果电脑中的程序运行看起来可疑，将会被关闭。这项技术原本来自顶尖的身份盗窃安全防范公司Sana Security，AVG在1月收购了Sana Security，并对该技术进行了强化。 “每天，把新的恶意代码添加到特征数据库的工作都会把我们这些防病毒软件公司搞得焦头烂额，因为每天都有为数两万到三万的新病毒样本出现，”AVG研究总监Roger Thompson表示，“我们不能总是跟在他们后面。现在到了采取新措施的时候了！” …

为了更加合法合规运营网站，我们正在对全站内容进行审核，之前的内容审核通过后才能访问。 由于审核工作量巨大，完成审核还需要时间，我们正在想方设法提高审核速度，由此给您带来麻烦，请您谅解。 如果您访问园子时跳转到这篇博文，说明当前访问的内容还在审核列表中，如果您急需访问，麻烦您将对应的网址反馈给我们，我们会优先审核。 反馈方式： 在线提交 https://www.cnblogs.com/req 发邮件至 [email protected] github 提交 issue https://github.com/cnblogs/cnblogs-hardening/issues 致歉公告： 致园友们的一封检讨书：都是我们的错

巧妙防治网上病毒侵害的方法步骤 手把手教你如何巧妙防治网上病毒侵害！ 大家好，我是玉树临风、风流倜傥的新浪小子！从第一次造成全球性危害的CIH病毒首次爆发，到现在已经六年了，经过六年时间的发展和演化，计算机病毒已经呈现出完全不同的面貌，变成人们见怪不怪的社会公害。据有关部门的统计和分析，目前对用户构成最大威胁的是网络病毒。随着国内网民数量的增加，网民成为最容易受到病毒攻击的“高危群”。 为了最大限度的将病毒为人们带来的危害降到最低，我新浪小子推出这个反病毒专题，及时追踪电脑病毒的最新动向，及时提供各大杀毒厂商的“解毒”方案…… 我们先来看看常见的电脑病毒分类： 引导区病毒： 这类病毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或软盘启动，或当计算机从受感染的软盘中读取数据时，引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中，马上就会感染其他磁盘的引导区，或通过网络传播到其他计算机上。 文件型病毒： 文件型病毒寄生在其他文件中，常常通过对它们的编码加密或使用其他技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令，用作它自身的运行命令。同时还经常将控制权还给主程序，伪装计算机系统正常运行。 一旦运行被感染了病毒的程序文件，病毒便被激发，执行大量的操作，并进行自我复制，同时附着在您系统其他可执行文件上伪装自身，并留下标记，以后不再重复感染。 宏病毒： 它是一种特殊的文件型病毒，一些软件开发商在产品研发中引入宏语言，并允许这些产品在生成载有宏的数据文件之后出现。 宏的功能十分强大…

　　1． 为什么有些病毒清除不了（非运行中），只能隔离而不能清除？ 　　所谓的杀病毒,就防毒软件而言有两种情况 　　一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K,经过杀毒之后,恢复成10K的正常档案)，这就是所谓的清除； 　　一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码)这种情况特别容易发生在特洛依木马,蠕虫之类的病毒，这种状况就是采取的隔离措施。 　　2． 对于病毒清除后的残余文件，是否会随着病毒清除后自动删除？ 　　不会。有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件，用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据，与通常的纯数据文件并没有什么差别，其本身并不具备执行的能力，因此并不会被检测，相应的该文件也不会被采取一些自动的措施进行处理。 　　3． 为什么有时候其他软件认为一个文件是病毒，而趋势却认为不是病毒？ 　　各防病毒厂商在对病毒的认定标准上存在一些细小的差异，导致某些文件某些厂商检测而其他一些厂商不检测的结果。举例来说，如果一个程序在执行时需要客户认可其最终用户许可协议，趋势科技即不将其检测为病毒，而其他厂家则可能会检测该程序为病毒。 　　4． 当发现一个未知病毒时，趋势科技的防毒软件是怎么处理的？除了隔离还会怎么处理？ 　　发现病毒时，趋势科技的防毒软件通常可以采取的措施有： 　　清除 　　隔离 　　删除 　　重命名 　　通过（即不做处置…

恶意代码防范技术原理 恶意代码概述 恶意代码是一种违背目标系统安全策略的程序代码，会造成目标系统信息泄露、资源滥用、破坏系统的完整性及可用性。 恶意代码攻击模型 1、入侵 2、维持或提升已有的权限 3、隐蔽 4、潜伏 5、破坏 恶意代码命名规则 一般格式：恶意代码前缀.恶意代码名称.恶意代码后缀 常见前缀： 前缀 含义 Boot 引导区病毒 DOSCom DOS病毒 Worm 蠕虫病毒 Trojan 木马 Backdoor 后门 Win32、PE、Win95、W32、W95 文件型病毒或系统病毒 Macro 宏病毒 Script、VBS、JS 脚本病毒 Harm 恶意程序 Joke 恶作剧程序 Binder 捆绑机病毒 Dropper 病毒种植程序病毒 恶意代码生存技术 反跟踪、加密、模糊变换、自动生产、三线程、进程注入、通信隐藏 恶意代码攻击技术 远程注入、超级管理、端口反向连接、缓冲区溢出攻击 恶意分析代码防范技术 静态分析 反恶意代码软件 字符串分析 脚本分析 静态反编译分析 静态反汇编分析 动态分析 文件检测 进程检测 网络活动检测 注册表检测 动态反汇编分析 防范措施： 1、加强用户安全意识、进行安全操作 2、建设恶意代码安全管理组织、制度、流程，设置相关管理岗位 3、实施恶意代码防御 计算机病毒 计算机病毒是附着在其它程序上的、可以自我繁殖的、有一定破坏能力的程序代码。 计算机病毒具有传染性、破坏性、隐蔽性、潜伏性、不可预见性、可触发性、非授权性等特点。 计算机病毒生命周期一般包括：潜伏、传…

//文章来源:http://www.2cto.com/Article/201312/265217.html by Kungen@CyberSword 想要查找恶意样本，首先要知道查找样本所需的基本信息，包括病毒名称、样本文件名、HASH值。对于最新发现的病毒，SECURELIST、VirusTotal网站会第一时间放出病毒和样本的分析报告,这些分析报告中包含我们查找样本所需要的信息，以红色十月（Red October）病毒样本为例：http://www.2cto.com/uploadfile/2013/1216/20131216021714215.jpg SECURELIST上关于“红色十月”的分析文章中包含了样本文件名以及对应的MD5： http://www.2cto.com/uploadfile/2013/1216/20131216021719916.png 有了这些关键信息，采用以下几种方法进行样本的查找： 1.名称直接查找 在卡饭论坛的“病毒样本区”直接搜索病毒名称找到了红色十月病毒样本下载链接。 http://www.2cto.com/uploadfile/2013/1216/20131216021722159.png 2.根据病毒样本名或HASH值查找 Open Maleware和malware.lu这两个网站所包含的样本数量很多、种类很广。 http://www.2cto.com/uploadfile/2013/1216/20131216021724…

一、 概述 昨天（12月1日）突发的"微信支付"勒索病毒，已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具，还原被加密的文件。下载地址：https://www.huorong.cn/download/tools/HRDecrypter.exe 据火绒安全团队分析，该勒索病毒开始勒索前，会在本地生成加密、解密相关数据，火绒工程师根据这些数据成功提取到了密钥。 此外，该勒索病毒只加密用户的桌面文件，并会跳过一些指定名称开头的目录文件， 包括"腾讯游戏、英雄联盟、tmp、rtl、program"，而且不会感染使用gif、exe、tmp等扩展名的文件。 值得一提的是，该病毒会利用带有腾讯签名的程序调用病毒代码，来躲避安全软件的查杀。 "火绒安全软件"已于昨天紧急升级，可拦截、查杀该病毒，广大用户如果遇到新情况，可通过火绒官方论坛、微博、微信公众号等渠道，随时向火绒安全团队反映或求助。 二、 样本分析 近期火绒接到用户反馈，使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播。用户中毒重启电脑后，会弹出勒索信息提示窗口，让用户扫描微信二维码支付110元赎金进行文件解密。病毒作者谎骗用户称"因密钥数据较大如超出个这时间（即2天后）服务器会自动删除密钥，此解密程序将失效"，但实际解密密钥存放在用户本地，在不访问病毒作者服务器的情况下，也完全可以成功解密。如下图所示： 勒索提示窗口 病毒代码依靠"白加黑"方式被调用，用于调用病毒代码的白文件带有有效的腾讯数字签名。由于该程序在调…

5．Vbs病毒生产机的原理介绍 　　 　　所谓病毒生产机就是指可以直接根据用户的选择产生病毒源代码的软件。在很多人看来这或许不可思议，其实对脚本病毒而言它的实现非常简单。 　　 　 　脚本语言是解释执行的、不需要编译，程序中不需要什么校验和定位，每条语句之间分隔得比较清楚。这样，先将病毒功能做成很多单独的模块，在用户做出病毒 功能选择后，生产机只需要将相应的功能模块拼凑起来，最后再作相应的代码替换和优化即可。由于篇幅关系和其他原因，这里不作详细介绍。 　　 　　三、如何防范vbs脚本病毒 　　 　　1．如何从样本中提取（加密）脚本病毒 　　 　　对于没有加密的脚本病毒，我们可以直接从病毒样本中找出来，现在介绍一下如何从病毒样本中提取加密VBS脚本病毒，这里我们以新欢乐时光为例。 　　 　　用JediEdit打开folder.htt。我们发现这个文件总共才93行，第一行，几行注释后，以开始，节尾。相信每个人都知道这是个什么类型的文件吧！ 　　 　　第87行到91行，是如下语句： 　　 87： 　　 　 　第87和91行不用解释了，第88行是一个字符串的赋值，很明显这是被加密过的病毒代码。看看89行最后的一段代码ThisText = ThisText & TempChar，再加上下面那一行，我们肯定能够猜到ThisText里面放的是病毒解密代码（熟悉vbs的兄弟当然也可以分析一下这段解密代 码，too simple!就算完全不看代码也应该可以看得出来的)。第90行是…

2020年4月7日，360CERT监测发现网络上出现一款新型勒索病毒wannaRen，该勒索病毒会加密windows系统中几乎所有的文件，并且以.WannaRen作为后缀。360CERT该事件评定：危险等级为高危，影响面为广泛。在运行该勒索病毒后会弹出如下界面： 经360安全大脑分析确认，“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“Shadow Brokers”组织。从三年前Wannacry席卷全球，至少30万用户中招，勒索病毒的威力可见一斑。今天就由翼火蛇带你来盘点那些年让人谈之色变的勒索病毒。 一、1989年“AIDS”trojan病毒 这是最早的已知的勒索病毒，由Joseph Popp制作。该病毒的实体数据会宣称受害者的某个软件已经结束了授权使用，并且加密磁盘上的文件，要求缴出189美元的费用给PC Cyborg Corporation以解除锁定。 事实上，Popp是一名进化生物学家，是哈佛大学的人类学专家，实际上是“飞行医生”的合作者，非洲医学研究基金会（AMREF）的分支机构以及世界卫生组织在肯尼亚的顾问，他在那里组织了新的全球艾滋病规划会议。在被英国警方逮捕后，尽管被指控十一项勒索罪并且显然与AIDS木马有关，但Popp为自己辩护，称向PC Cyborg Corporation的资金将用于AIDS研究。 在国际卫生组织国际艾滋病大会上，Popp将两万张受感染的软盘分发给与会者，它替换了AUTOEXEC.BAT文件，该文件随后被AIDS用来计算计算机启动的次数。一旦启动次数达到9…

经常会有一些小伙伴问：中了勒索病毒，该怎么办，可以解密吗？ 第一次遇到勒索病毒是在早几年的时候，客户因网站访问异常，进而远程协助进行排查。登录服务器，在站点目录下发现所有的脚本文件及附件后缀名被篡改，每个文件夹下都有一个文件打开后显示勒索提示信息，这便是勒索病毒的特征。 出于职业习惯，我打包了部分加密文件样本和勒索病毒提示信息用于留档，就在今天，我又重新上传了样本，至今依然无法解密。 作为一个安全工程师，而非一个专业的病毒分析师，我们可以借助各大安全公司的能力，寻找勒索病毒的解密工具。 本文整理了一份勒索病毒自救指南，通过勒索病毒索引引擎查找勒索病毒相关信息，再通过各个安全公司提供的免费勒索软件解密工具解密。当然，能否解密全凭运气，so，平时还是勤打补丁多备份。 勒索病毒搜索引擎 在勒索病毒搜索引擎输入病毒名、勒索邮箱、被加密后文件的后缀名，或直接上传被加密文件、勒索提示信息，即可可快速查找到病毒详情和解密工具。 这些网站的解密能力还在持续更新中，是值得收藏的几个勒索病毒工具型网站。 【360】 勒索病毒搜索引擎，支持检索超过800种常见勒索病毒， http://lesuobingdu.360.cn 【腾讯】 勒索病毒搜索引擎，支持检索超过 300 种常见勒索病毒 https://guanjia.qq.com/pr/ls/ 【启明】VenusEye勒索病毒搜索引擎，超300种勒索病毒家族 https://lesuo.venuseye.com.cn/ 【奇安信】勒索病毒搜索引擎 https://le…

经常会有一些小伙伴问：中了勒索病毒，该怎么办，可以解密吗？ 第一次遇到勒索病毒是在早几年的时候，客户因网站访问异常，进而远程协助进行排查。登录服务器，在站点目录下发现所有的脚本文件及附件后缀名被篡改，每个文件夹下都有一个文件打开后显示勒索提示信息，这便是勒索病毒的特征。 出于职业习惯，我打包了部分加密文件样本和勒索病毒提示信息用于留档，就在今天，我又重新上传了样本，至今依然无法解密。 作为一个安全工程师，而非一个专业的病毒分析师，我们可以借助各大安全公司的能力，寻找勒索病毒的解密工具。本文整理了一份勒索病毒自救指南，通过勒索病毒索引引擎查找勒索病毒相关信息，再通过各个安全公司提供的免费勒索软件解密工具解密。当然，能否解密全凭运气，so，平时还是勤打补丁多备份。 勒索病毒搜索引擎 在勒索病毒搜索引擎输入病毒名、勒索邮箱、被加密后文件的后缀名，或直接上传被加密文件、勒索提示信息，即可可快速查找到病毒详情和解密工具。解密能力持续更新中，是值得收藏的几个勒索病毒工具网站。 【360】 勒索病毒搜索引擎，支持检索超过800种常见勒索病毒， http://lesuobingdu.360.cn 【腾讯】 勒索病毒搜索引擎，支持检索超过 300 种常见勒索病毒 https://guanjia.qq.com/pr/ls/ 【启明】VenusEye勒索病毒搜索引擎，超300种勒索病毒家族 https://lesuo.venuseye.com.cn/ 【奇安信】勒索病毒搜索引擎 https://lesuobingdu.qianxin.com/ 【深信服】勒…

0x00 前言 勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后，各种变种及新型勒索病毒层出不穷。 0x01 应急场景 某天早上，网站管理员打开OA系统，首页访问异常，显示乱码： 到这里，基本可以确认是服务器中了勒索病毒，上传样本到360勒索病毒网站（http://lesuobingdu.360.cn）进行分析：确认web服务器中了sage勒索病毒，目前暂时无法解密。 本文由Bypass整理发布，转载请保留出处。 欢迎关注我的个人微信公众号：Bypass--，浏览更多精彩文章。

1.经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。 2.系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。 3.文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。 4.经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。 5.提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。 6.软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。 7…