对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)

栏目: 编程工具 · 发布时间: 5年前

内容简介:*本文原创作者:redwand,本文属 FreeBuf 原创奖励计划,未经许可禁止转载正月十五元晚上,在家刚吃完元宵接到电话,朋友公司遭受勒索病毒攻击,数据库文件被加密,黑客通过暗网勒索 15000 美金赎金。一听勒索软件,顿时觉得头大,只好死马当活马医了,开始行动。先看下病毒在每个目录留下的 txt 文件 CVMKJ-DECRYPT.txt。

*本文原创作者:redwand,本文属 FreeBuf 原创奖励计划,未经许可禁止转载

正月十五元晚上,在家刚吃完元宵接到电话,朋友公司遭受勒索病毒攻击,数据库文件被加密,黑客通过暗网勒索 15000 美金赎金。一听勒索软件,顿时觉得头大,只好死马当活马医了,开始行动。先看下病毒在每个目录留下的 txt 文件 CVMKJ-DECRYPT.txt。 对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本) 可以看到该病毒的名称及版本,GandCrab v5.1,一顿百度,了解到,之前已经有某安全厂商对此病毒进行了一系列分析,直接拿来主义,站在巨人肩膀上。病毒加密文件如下,已脱密处理:

对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)

经了解,该病毒为 GrandCrab 家族的最新变种,采用 RSA+AES 结合的加密算法,中毒后多目录下会保存一个名为 CVMKJ-DECRYPT.txt 的文件,且文件后缀.cvmkj 为随机字符,本案例中为.cvmkj。该入侵一般通过 rdp 弱口令爆破登陆,后通过 url 下载病毒,或通过手动投毒。为扩大战果,通过下载内网扫描工具,继续对内网进行爆破扫描。

回到本案例,查看日志,发现 windows envent log 服务被关闭,系统安全日志被整段删除,由 2015 年底一下跳到应急 2019 年 2 月 20 日。在一番 kill 相关进程后,windows envent log 重启成功,随后继续排查。 对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)

查看本地用户,发现 Administrators 组中多出一个名为 admin1 的管理员用户,命令 net user admin1,发现该用户为 Administrators 组成员,且最近登录时间为 2019 年 2 月 19 日 01:08,说明该服务器已经完全沦为黑客肉鸡。 对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本) 继续排查,通过删除文件恢复,发现黑客曾经在 download 目录中下载了 NLBrute    1.2 工具,并且使用名为 passCina1.txt 的密码字典进行了内网爆破。通过询问管理员,发现管理员使用弱口令密码,更确信黑客通过 rdp 爆破入侵。随后使用 Process Monitor 对内存中的进程进行监控分析,未发现病毒样本,重新创建相关数据文件,重起服务器,未发现新文件被加密。经询问管理员得知,管理员在第一时间在进程管理中发现一个名为 process hack2 的进程,并将其删除。   

正当焦头烂额,无计可施之际,上海安服朋友群内推送一篇文章,国外大牛于 2019 年 2 月 19 日刚发布了 GandCrab v5.1 解密工具 ,但还无人测试成功,本着死马当活马医的态度,下载测试之。 对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)

接下来,就发生了见证奇迹的时刻,一条条 ok 记录出现在软件输出栏内,再去对应路径查看文件,真的解密成功了!上面为 20190204 文件被加密源文件,类型 CVMKJ,下面为 20190220 解密后得到 office 文件。 对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)

最后,本着开源精神,公布 工具 下载链接,由于在 fb 编辑器上未找到附件上传,需要样本的可以联系我,我将提供下图中的 client.log 作为测试样本。 对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)


以上所述就是小编给大家介绍的《对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

科学计算导论

科学计算导论

希思 / 清华大学出版社 / 2005-10 / 48.00元

本书全面地介绍了科学计算中解各种主要问题的数值方法,包括线性和非线性方程、最小二乘法、特征值、最优化、插值、积分、常微分方程和偏微分方程、快速傅里叶变换和随机数生成。 本书的特点是: 以使用算法的读者为对象,重点讲授算法背后的思想和原理,而不是算法的详细分析。 强调敏感性和病态性等概念,对同一问题的不同算法进行比较和评价,提高读者对算法的鉴赏能力。 对每类......一起来看看 《科学计算导论》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器