文章总结: 这篇文章介绍了Phobos勒索病毒的排查过程,包括通过多个安全平台确认勒索病毒类型、追踪攻击时间线、发现恶意文件位置和攻击路径,以及最终的处置加固措施。文章提供了详细的应急响应步骤,如检查加密时间、分析日志、查找恶意文件、查询MD5情报、排查启动项等,并给出了删除恶意文件、修改密码和关闭远程端口等具体处置建议,对安全人员处理类似勒索病毒事件具有实用参考价值。 综合评分: 91 文章分类: 应急响应,恶意软件,漏洞分析,实战经验,安全工具
【应急响应基础】七、勒索病毒排查
原创
混子Hacker
混子Hacker
2025年12月16日 17:49 四川
免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。
[ 简介 ]
勒索病毒排查
勒索病毒是一种恶意软件,它通过加密文件、威胁删除文件等方式,迫使受害者支付一定的赎金以解密文件或恢复数据。这种恶意软件通常是通过电子邮件、社交媒体等渠道传播,并要求受害者支付一定数额的赎金。 勒索病毒是一种严重的网络安全威胁,它可以通过多种方式传播,包括电子邮件、社交媒体、网络钓鱼等。它会对受害者的数据和隐私造成严重破坏,并可能导致严重的财务损失。
| |
| — |
| 本期导读 勒索排查 |
勒索病毒排查
混子Hacker
一、勒索排查
1.1 勒索家族分析
根据后缀和邮箱在勒索家族搜索网站搜索
360:https://lesuobingdu.360.cn/腾讯管家:https://guanjia.qq.com/pr/ls/启明星辰:https://lesuo.venuseye.com.cn/奇安信:https://lesuobingdu.qianxin.com/
确认为Phobos
1.2 攻击溯源
1、查询文件加密时间 11:34
2、排查安全日志发现日志被删除,干扰应急排查
3、排查应用程序和服务日志TerminalServices-LocalSessionManager / Operational路径:
Applications and Services Logs → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational包含:
用户登录/登出(Event ID 21、22、25)会话重连、断开
发现存在11:27存在远程登录
4、使用Everything查询创建时间为2021/11/04的文件和文件夹,发现C:\PerfLogs存在恶意文件时间11:31,C:\Windows下的artifact.exe
5、进入C:\PerfLogs对1.exe进行分析,创建时间是11:33
使用certutil -hashfile 1.exe MD5查询MD5情报发现是勒索病毒
6、进入文件夹发现Process Hacker文件,创建时间11:28
7、排查C:\Windows\artifact.exe,创建时间11:33其实熟悉CS的都知道这个是CS生成默认木马名称
使用certutil -hashfile artifact.exe MD5查询MD5情报,确认是CS木马
8、Autoruns对启动项、计划任务、服务项排查,实现持久化自启动
以下启动目录下存在恶意文件1.exe为勒索病毒C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\test\AppData\Local
C:\ProgramData\Microsoft\Windows\StartMenu\Programs\StartUp\
综上所有恶意程序的位置:
C:\Windows\C:\PerfLogsC:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupC:\Users\test\AppData\LocalC:\ProgramData\Microsoft\Windows\StartMenu\Programs\StartUp\
时间线整理:
11:27 攻击者远程登录成功11:28 上传Process Hacker关闭杀软11:31 上传1.exe进行11:33 上传CS木马artifact.exe进行远控11:34 添加启动项进行持久化并进行勒索
1.3 处置加固
1、删除注册表启动项、上述目录恶意文件1.exe和artifact.exe
2、修改主机密码,关闭3389端口
| | | — | | 本专栏往期文章: 【应急响应基础】一、系统查询-Windows基础排查 【应急响应基础】一、系统查询-Windows基础排查2 【应急响应基础】二、Windows病毒排查-手动排查 【应急响应基础】三、主机排查-Linux基础排查 【应急响应基础】四、Linux病毒排查 【应急响应基础】五、入侵排查-Windows入侵排查 【应急响应基础】六、应急工具使用 |
<<< END >>>
原创文章|转载请附上原文出处链接
更多漏洞|关注作者查看
作者|混子Hacker
查看原文:《【应急响应基础】七、勒索病毒排查》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论