常见应急病毒和工具介绍

释放双眼,带上耳机,听听看~!

网安引领时代,弥天点亮未来   

1、应急常见病毒无外乎是勒索和挖矿,下面介绍一下应急常见勒索和挖矿的家族



WannaCry勒索

    

    2017年5月12日,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元。WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示需要支付相应赎金方可解密。

  • 常见后缀:wncry

  • 传播方式:永恒之蓝漏洞

  • 特征:启动时会连接一个不存在url,创建系统服务mssecsvc2.0, 释放路径为Windows目录


Globelmposter勒索


   

     2017年出现,2018年8月21日起,多地发生GlobeImposter勒索病毒事件,攻击目标主要是开始远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密多个版本更新,并常通过爆破RDP后手工投毒传播,暂无法解密

  • 常见后缀:auchentoshan、动物名+4444

  • 传播方式:RDP爆破、垃圾邮件、捆绑软件

  • 特征:释放在%appdata%或%localappdata%


GandCrab勒索


    

    2018年年初面世,作者长时间多个大版本更新,仅仅半年的时候,就连续出现了V1.0,V2.0,V2.1,V3.0,V4.0等变种,病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母,并将感染主机桌面背景替换为勒索信息图片。GandCrab5.1之前版本可解密,最新GandCrab5.2无法解密

  • 常见后缀:随机生成

  • 传播方式:RDP爆破、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播……

  • 特征:样本执行完毕后自删除、修改操作系统桌面背景、后缀-MANUAL.txt、后缀-DECRYPT.txt


Satan勒索


    

    撒旦(Satan)勒索病毒首次出现2017年1月份。该勒索进行Windows&Linux双平台攻击,最新版本攻击成功后,会加密文件并修改文件后缀为“evopro”。除了通过RDP爆破外,一般还通过多个漏洞传播。

  • 常见后缀:evopro、sick…

  • 传播方式:永恒之蓝漏洞、RDP爆破、JBOSS系列漏洞、Tomcat系列漏洞、Weblogic组件漏洞

  • 特征:最新变种evopro暂时无法解密,老的变种可解密

2、常见挖矿程序种类介绍


8220挖矿攻击


WannaMiner/MsraMiner/HSMiner



JbossMiner


Mykings

MyKings是一个大规模多重僵尸网络,并安装门罗币挖矿机,利用服务器资源挖矿。

参考链接:

https://mp.weixin.qq.com/s/L_gNPPi0i1Op7WHbmMaEng

https://ti.360.net/blog/articles/status-detection-disposal-of-mining-attack/

虽然会有不少病毒类型,但是其实他们的攻击在系统中的响应无非就那几种在日志/内存/服务/进程/网络中所呈现。


学海浩茫,

予以风动,
必降弥天之润!


   弥  天

安全实验室


本文源自微信公众号:弥天安全实验室

人已赞赏
安全工具

CVE-2019-1609 Harbor任意管理员注册漏洞

2019-10-18 16:56:33

安全工具

Linux常用工具

2019-10-18 16:56:37

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索