1. GlobeImposter
首次出现应该在17年5月份
MD5:C120F323C78D046C991F0EFE45F3819C
可在app.any.run下载样本
首次出现时间:2017年5月
两次大爆发时间:2017年11月以及2018年3月
分析文章:https://www.freebuf.com/articles/terminal/210641.html
主要传播方式
目前来看主要是垃圾邮件和RDP爆破植入
木马本身的传播方式如下:
1.利用mimikatz.exe扫描本机的所有账户机器密码,将结果保存到result.txt里面,如果被攻破的机器为域管理员机器,那么整个域中的机器都将沦陷。
2.利用局域网扫描工具nasp.exe扫描开放了3389端口的机器,然后远程登录桌面爆破工具NLBrute.exe会根据扫描结果依次爆破局域网的机器。
技术特点
通过AES算法解密勒索软件中相关字符串和内置公钥信息
通过AES算法解密后续的字符串信息比如加密文件后的后缀名以及生成的HOW_TO_BACK_FILES.txt文件名。
在用户的C:\Users\Public\文件夹下生成用户ID文件,该文件名为内置的公钥的SHA256hash值,文件中保存了用户的ID信息。
GlobeImposter在初始化的时候,会检查系统是否存在%Appdata%环境变量,如果存在则拷贝当前运行的病毒文件到appdata目录下并设置开机自启动
GlobeImposter1.0 在加密前会遍历并结束相关的进程
GlobeImposter2.0 会直接进行加密文件操作
GlobeImposter2.0+ 在系统%temp%目录生成.bat文件并执行以删除远程桌面登录的信息,然后删除bat自身,最后删除勒索软件自身
历史版本
GlobeImposter1.0
2017年11月前的GlobeImposter称为GlobeImposter1.0
1.0的加密后缀常为".CHAK"
GlobeImposter2.0
在2018年3月份出现
2.0的加密后缀通常为".TRUE" 和 ".doc"
2.0开始使用RSA2048加密算法,加密后文件后缀后缀包括TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03、RESERVE、GRANNY、BUNNY+、BIG、ARA、WALKER、XX、BONUM、DONALD、FOST、GLAD、GORO、MIXI、RECT、SKUNK、SCORP、TRUMP、PLIN等。
2.0勒索特征:
GlobeImposter3.0
出现时间大概为2018年9月份左右,也成为十二生肖病毒
后缀多为".Tiger4444" "Ox4444"
但由于和之前的版本相比只进行了简单的改动,核心代码几乎没变,该版本又被称为2.0+
该版本的其他后缀名
.China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444
.Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444
GlobeImposter4.0
出现时间为2019上半年
后缀为 ".auchentoshan" 、".fuck"、".sanders"
深信服分析文章地址:https://mp.weixin.qq.com/s/fmeZZiRmkfYi-K1H0RAKTg
4.0 生成的勒索信息README_BACK_FILES.htm
GlobeImposter5.0
也称为十二生肖主神版它采用了古希腊宗教中最受崇拜的十位主神+666的加密后缀,加密后缀列表,如下所示:
Ares666、Zeus666、Aphrodite666、Apollon666、Poseidon666、Artemis666、Dionysus666、Hades666、Persephone666、Hephaestus666、Hestia666、Athena666
5.0勒索提示信息HOW TO BACK YOURFILES.txt:
变种信息:
早期GlobeImposter2.0变种后缀列表:
{killbillkill@protonmAIl.com}VC、{travolta_john@aol.com}ROCK
{travolta_john@aol.com}GUN、{colin_farel@aol.com}XX
{saruman7@india.com}.BRT92、[i-absolutus@bigmir.net].rose、
[lightright@bigmir.net].ransom、[bensmit@tutanota.com]_com
{jeepdayz@aol.com}BIT、{mixifightfiles@aol.com}BIT
{baguvix77@yahoo.com}.AK47、{colin_farel@aol.com}BIT
{legosfilos@aol.com}BIT、{lxgiwyl@india.com}.AK47
{omnoomnoomf@aol.com}BIT
2.0变种勒索提示信息how_to_back_files.html:
19年5月出现2.0的新变种,加密后缀为:
{HulkHoganZTX@protonmail.com}ZT
Killserver@protonmail.com}KSR
{CALLMEGOAT@PROTONMAIL.COM}CMG
{Killback@protonmail.com}KBK
5月份2.0新变种勒索提示信息decrypt_files.html
19年3月出现4.0变种,后缀主要为:auchentoshan、makkonahi,勒索提示how_to_open_files.html
最新变种(19年10月),后缀名为:badday,提示信息how_to_back_files.html:
还有一款变种,后缀为Aphrodite865qq,勒索提示HOW TO BACK YOUR FILES.exe:
还有一些其他后缀:
Ares865qq、Zeus865qq、Aphrodite865qq、
Apollon865qq、Poseidon865qq、
Artemis865qq、Dionysus865qq、
Hades865qq、Persephone865qq、
Hephaestus865qq、Hestia865qq、
Athena865qq
2. GandCrab
也就是臭名昭著的大螃蟹,现在以及停止运营了
综合特点:高强度混淆,更换桌面背景,内存解密PE并执行以绕过静态扫描,母体病毒反沙箱
主要传播方式
恶意邮件投递
感染Web/FTP服务器目录
U盘/网络磁盘传播
压缩文件感染
奇安信详细分析:https://www.freebuf.com/articles/system/191020.html
第一代的sha256:643F8043C0B0F89CEDBFC3177AB7CFE99A8E2C7FE16691F3D54FB18BC14B8F45
历史版本
GandCrab1.0
首次发现时间:2018年2月份
勒索达世币,加密后缀为GDCB
技术特点:代码自解密,在内存中解密出勒索病毒的核心代码,然后替换到相应的内存空间执行。
GandCrab2.0
演变时间:2018年3月份
发行原因:2018年3月GandCrab病毒服务器被罗马尼亚一家安全公司和警方攻破,至此1.0版本加密文件可被解密,于是发行了2.0
技术特点:代码混淆,花指令,反调试技术,反射式注入技术,将解密出来的勒索病毒核心payload代码注入到相关进程中并执行勒索加密操作。
加密后缀:CRAB
GandCrab2.1
演变时间,2018年4月份
技术特点:采用RSA2014加密算法
后缀:GRAB
GandCrab3.0
传播方式:利用邮件附件,在一个doc文档中执行VBS脚本,然后下载执行GandCrab3.0并运行
加密后缀同 2.0
GandCrab4.0
发现时间:2018年7月
后缀:KRAB
技术特点:首次使用TOR支付站点方式,代码多层封装与混淆,多次解密
GandCrab4.3
发现时间:2018年8月份
感染方式:RDP爆破,垃圾邮件,下载捆绑,RigEK漏洞利用工具包
GandCrab5.0
更新时间:2018年9月份
技术特点:增加了传播方式,可以通过VBS脚本执行下载,使用powershell脚本,js脚本下载运行
从5.0开始,GandCrab 不再使用之前的加密后缀,而是开始使用随机加密后缀
小变种:GandCrab5.0.3
更新时间2018年10月
技术特点:使用js脚本对抗Avast杀软、windowsDefender、MESE微软杀毒服务、Ahnlab安博士杀软。
小变种:GandCrab5.0.4
更新时间:2018年10月底
小变种:GandCrab5.0.5
更新时间:2018年10月16日左右
一个有趣的更新原因:
更新功能:
将叙利亚地区加入了白名单
在这个版本的时候,安全公司Bitdefender与欧洲刑警组织和罗马警方合作开发了GandCrab勒索软件的解密工具,可以适用于目前已知的有所勒索软件。也就是可以解密从1.0到5.0.5
GandCrab5.1
更新时间:2019年1月份
技术特征:RSA+salsa20相结合的加密算法
可惜很快,Bitdefender再次更新了解密工具,也能直接解密5.1版本的病毒
GandCrab5.2-5.3
更新时间:2019年3月份,这也是GandCrab更新的最后两个版本,到19年6月份,GandCrab运营团队宣布赚够了养老钱,退出江湖。至此,传奇勒索家族GandCrab落幕。
深信服5.2分析报告:https://mp.weixin.qq.com/s/M93V2oWuwjdtOxI9-Vz6SQ
3. CrySiS(又称Dharma)
CrySiS出现的时间比较早,根据网上的报告来看:
2016年开始具有勒索活动
2017年5月份通过RDP爆破的方式植入服务器进行勒索,加密文件后缀为.java
2017年8月份发现变种,加密后文件后缀为.arena
2018年6月份新变种,加密后文件后缀为bip
2018年7月份增加感染文件种类,后缀为.arrow
主要传播方式
远程RDP爆破为主
勒索特征
入口特征:(来自正正大佬的分析:https://www.malwareanalysis.cn/553/)
加密后缀:.java
加密特点:AES+RSA
勒索弹窗
变种信息
目前捕获到的变种后缀:VIVAL、CASH、Krab、oo7、bot、uta、wiki、pbd、one
样本大致行为
1.创建互斥体
2.拷贝自身到指定目录,指定目录如下
%windir%\System32
%appdata%
%sh(Startup)%
%sh(Common Startup)%
3.设置自启动
4.释放勒索配置文件Info.hta并设置为自启动,用于勒索弹窗
5.枚举电脑里面的服务并结束服务
6.枚举电脑里面的进程并结束,主要是结束掉数据库进程,防止加密数据库文件的时候因为数据库正在被使用而无法加密
7.删除电脑里面相应的卷,防止通过数据恢复的方式还原文件
8.遍历枚举局域网共享目录文件,对共享目录文件进行加密
9.进行文件加密
深信服样本详细分析地址:https://www.freebuf.com/articles/system/165801.html
https://mp.weixin.qq.com/s/aoR2eFtRi9K2rUNJQMX3Hg
4. CryptON
别名:X3M Nemesis Cry3
最早出现时间:2017年
加密后文件格式:原文件名.id_随机数字_[Icanhelp@cock.li].firex3m
加密技术:3DES+RC4,由于密钥存储在本地,所以该勒索可解密
传播方式:通常是RDP弱口令植入,攻击者一般会通过RDP爆破弱口令登录,之后使用进程结束工具结束安全工具,再使用密码抓取工具尝试抓取其他密码,攻击内网其他计算机。
样本大致行为
- 使用凯撒轮盘动态解密使用到的API
- 获取系统语言并与预定义的list进行对比,使病毒在指定的国家不运行
指定的语言为
- 排除指定的文件目录与部分后缀名,防止操作系统崩掉
- 删除卷影拷贝,防止通过数据恢复的方式恢复文件。
- 创建互斥体
- 创建50余个线程,遍历不同文件路径快速加密
- 获取本机信息并计算出一个id
- 使用Random生成4组随机数为后续的加密密钥做准备。
- 生成用户ID用作加密检查,防止二次加密
- 根据计算机计算出来的唯一id来填充被加密的文件后缀格式,方便作者管理
- 获取操作系统的版本和基础信息生成密钥写入到桌面的一个文件中,格式如下:
report||用户ID||用户ID + 密钥||主机名||操作系统||系统类型||系统语言||
深信服详细分析:https://www.freebuf.com/articles/system/203496.html
瑞星详细分析:http://it.rising.com.cn/fanglesuo/19599.html
5. Attention
该类勒索比较新,应该是19年才火起来的。
攻击行业:制造业( 比如半导体)、医疗行业等目标。
攻击方式:RDP爆破,手动投放
加密手法:RSA+AES
勒索特征
1.勒索文件YOUR FILES ARE ENCRYPTED.TXT
2.加密后缀为大写字母的随机(10到12)个英文字母,前三个字母相同,如下:
深信服行为分析:https://www.freebuf.com/articles/system/204740.html
6. Sodinokibi
别称:DeepBlue勒索
加密后缀:数字和字母随机生成,长度在5到10个之间,样本会使用后缀名来生成勒索信。
出现时间:2019年4月26日开始,由于传播手法和CC通信都与GandCrab十分相像,称为GandCrab接班人
正正大佬分析地址:https://mp.weixin.qq.com/s/5gTElAGq5v-hFWeq9uL9jg
https://mp.weixin.qq.com/s/iK8tQQ2sTa6YiVeoQlphMQ
安天详细分析:https://www.freebuf.com/articles/network/207116.html
深信服详细分析:https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg
奇安信详细分析:https://www.freebuf.com/articles/system/205237.html
传播方式
- 钓鱼邮件
- RDP爆破
- 漏洞利用(flash UAF:http://www.freebuf.com/system/209047.html),Oracle WebLogic Server
- 水坑攻击
- 恶意广告下载
勒索变种
crappy
变种勒索特征:
勒索特征
- 病毒运行后,被攻击的主机桌面会变成深蓝色
- 提示信息如下
7. Scarab
该勒索病毒变种较多
最早发现时间:2017年6月份,该勒索很有可能是俄国黑客开发的,因为Scarab留的英文勒索信中有英语语法错误,而它的变种Scarabey留的是俄语,俄语勒索信中并没有语法错误,但是将俄语勒索信翻译为英文就出现了和英文勒索信一模一样的语法错误,所以推测是俄国编写。
Scarab变种分析(深信服):https://www.freebuf.com/vuls/174870.html
最新变种分析(深信服):https://www.freebuf.com/articles/terminal/184525.html
目前变种:
Scarabey(俄语编写)
国外分析文章:https://blog.malwarebytes.com/threat-analysis/2018/01/scarab-ransomware-new-variant-changes-tactics/
国内翻译:https://www.anquanke.com/post/id/97261
ImmortalLock(国内活跃)
腾讯分析文章:https://s.tencent.com/research/report/693.html
主要传播方式
利用Necurs僵尸网络传播,Necurs是全球最大的僵尸网络之一,曾用于传播多个勒索家族的样本
最新变种主要通过RDP爆破+人工植入的方式传播
勒索特征
原勒索后缀:scarab
常见变种后缀:.hitler
最新变种后缀(19年10月左右):local、gold、crabs、lbkut
勒索提示文件名:
HOW TORECOVER ENCRYPTED FILES.TXT
Инструкцияпо расшифровке файлов.TXT
弹窗信息:
8. FilesLocker
该木马首次发现再2018年10月份左右,由C#开发。
后缀:[FilesLocker@pm.me]
MD5:D1C2F79125818F1E7EA16784ACF63712
腾讯详细分析:https://www.freebuf.com/column/188034.html
深信服详细分析:https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650236543&idx=1&sn=42fd62aeeb7f07fa78186854cfbc8ee5&chksm=f3e2dc0bc495551d644c242727d47fee0a2ba97866238baa6dbaf8120215ff2d9315bf669375&scene=21#wechat_redirect
传播方式
该勒索病毒初期并没有太明显的传播方式,但病毒开发者好像是中国人,再18年的时候通过招募代理的方式进行传播。
这是一种攻击者开发病毒,代理商传播的模式。
2018年10月份,有人在暗网发布FilesLocker合作计划,如下:
历史版本
2018年底作者放出了1.0和2.0的私钥,研究人员根据私钥开发出了对应的解密工具。
1.0 弹窗如下
2019年,发布了全新版本2.1,2.1勒索弹窗如下:
9. Gorgon
该勒索病毒和上面的FilesLocker有着密切的关联,初步估计Gorgon是FilesLocker的变种,也有可能是FilesLocker招到的代理。
后缀:.[buy-decryptor@pm.me]
发现时间为2019年2月20日
Gorgon增加了韩文版本,和之前FilesLocker的中文版英文版信息一致。
注意:该病毒虽然和巴基斯坦的Grogon group黑客组织同名,但是目前来看两者并无关联。
腾讯详细分析:https://www.freebuf.com/column/196286.html
1.勒索病毒UI的整体变化,同时支持中英韩三种语言(新增韩语);
2.释放桌面勒索提示文件由FilesLocker版本的txt变化为html,勒索说明更加详细;
3.攻击成功后替换桌面壁纸的改变;
4.FilesLocker桌面壁纸存放地址取消使用;
(hxxp://http://p2.so.qhmsg.com/t017dbe734425296aea.jpg)
5.新增Winlogon系统登录项添加,用于在开机登录界面展示勒索信息;
6.勒索扩展后缀由FilesLocker版本的.[FilesLocker@pm.me]改变为.[buy-decryptor@pm.me];
7.相比较FilesLocker版本代码增加混淆;
8.勒索加密使用到的RSA公钥改变,导致之前病毒作者释放出用于解密的RSA私钥也无法解密。
勒索提示和之前的FilesLocker相比只有颜色上的改变:
除此之外就是之前留在桌面的txt文件变成了html
MD5
443670682e32a91777b1b0af2d09163d
10. STOP
STOP是2019年全球十大勒索病毒之首。
腾讯详细分析:https://www.freebuf.com/column/200907.html
STOP变种非常多,目前来看至少有一百多个变种
常见STOP及变种后缀:karl、nesa、boot、kuub、noos、xoza、bora、leto、werd、coot、derp、litar、raldub
STOP勒索病毒主要经历了三个版本的变种:
1.加密后缀为大写字母,例如:DATAWAIT、KEYPASS、WHY、INFOWAIT等
2.加密后缀为以puma开头变种,例如:puma、pumas、pumax等
3.Djvu类变种,此变种使用了很多随机的扩展名,2019年8月底之前的加密后缀,如下所示:
.djvu,.djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude,.tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock,.promoks, .promorad, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope,.kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat,.roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa,.verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut,.fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap,.radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset,.davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad,.horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas,.godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue,.darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access,.format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, prandel,.zatrov, .masok, .brusaf, londec, .krusop, .mtogas, .coharos, .nasoh, .nacro,.pedro, .nuksus, .vesrato, .masodas, .stare, .cetori, .carote,
2019年8月底,出现了新的版本,使用了最新的加密后缀,如下所示:
.shariz,.gero, .hese, .geno, .seto, .peta, .moka, .meds, .kvag, .domn, .karl,.nesa,.boot
该勒索病毒勒索提示信息类似如下所示:
STOP勒索病毒解密主要分以下三种情况:
1.早期部分病毒版本由于其服务器生成密钥接口存在缺陷,当第一次请求接口时,服务器生成返回新的Key数据,而当再次访问密钥生成接口,服务器则会把该mac请求生成过的Key直接返回,针对此bug可拿到密钥实现解密。
2.病毒使用Key生成接口失活情况下,病毒会使用离线Key进行加密,该情况下,也可实现解密
3.病毒加密时使用了在线生成的Key,且后续无法通过其对应的服务接口获得Key信息,此情况暂时无法解密
主要传播方式
捆绑软件传播
垃圾邮件
技术特征
- stop加密时会禁用任务管理器,Windows defender以及关闭windows defender的实时监控
- 通过修改host文件阻止系统访问全球范围内大量的安全厂商
- 因病毒执行的时候会有比较明显的卡顿,所有stop会伪装称为windows自动更新
- 释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制
- 下载AZORult木马,以窃取用户浏览器、邮箱、多个聊天工具的密码
11. Matrix
网上关于Matrix的资料还比较少,看资料应该是从2016就开始活跃,目前总共出现了96类左右的变种,今年还在活跃的,主要是Matrix的一些变种。
有一个比较火的变种PRCP,该变种加密后缀为.prcp,深信服详细分析地址:
https://www.freebuf.com/articles/terminal/194592.html
瑞星详细分析地址:http://it.rising.com.cn/fanglesuo/19481.html
主要功能
- 获取受害主机信息,上传C2服务器
- 生成秘钥
- 删除系统备份
- 内网扫描,加密共享
- 加密本地文件,释放勒索信息
传播方式
主要通过RDP弱口令传播
最新(19年10月)的变种为DECP,该变种生成的提示信息#DECP_README#.rtf如下:
(参考资料:正正大佬的公众号 安全分析与研究)
除此之外还有几个新的变种:ABAT、tgmn,生成的提示信息文件名为:!ABAT_INFO!.rtf
这些变种,目前还没有详细的分析报告。
12. Ouroboros
由于其pdf中带有Ouroboros,所以命名为Ouroboros.Ouroboros勒索病毒(也被叫做Zeropadypt勒索病毒家族)从2017年开始传播,最开始变种非常多。早期都在国外进行传播,最近发现国内也开始出现被该家族感染案例。早期该勒索病毒通过 Necurs邮件僵尸网络进行传播,目前案例被感染案例发现通过爆破远程桌面后进行手动投毒。
加密后缀为:.Lazarus
勒索技术和其他勒索大同小异,腾讯详细分析地址:https://www.freebuf.com/column/213091.html
勒索弹窗信息:
主要传播方式
邮件传播 ,爆破远程桌面
变种信息
目前的最新变种后缀为KRONOS,提示文件HowToDecrypt.txt内容如下:
还有一款变种后缀为Angus
一款变种后缀为Lazarus+
13. Avest
新型勒索病毒
加密后缀
pack14
勒索特征
勒索提示文件名:!!!ReadMe!!!Help!!!.txt
目前Emsisoft已经有该款勒索的解密工具,地址为:
https://www.emsisoft.com/ransomware-decryption-tools/avest
14. Phobos
该勒索也是2019年全球十大勒索软件之一
首次发现时间在2019年初,至今已经衍生出了大量的变种。
深信服详细分析:https://mp.weixin.qq.com/s/qe4MdwK6HAMHERF2xGo_EQ
安天分析:https://www.4hou.com/typ/21012.html
主要传播方式
通过端口 3389 上的开放或不安全的远程桌面协议(RDP) 连接、暴力破解 RDP 凭据、使用被盗和购买的 RDP 凭据以及老式网络钓鱼。Phobos 操作员还利用恶意邮件附件、下载链接、补丁程序和软件漏洞等来访问组织的端点和网络
变种信息
目前已经公布的变种后缀:
.phobos、.Frendi、.phoenix、.mamba、.adage、.acute、.1500dollars、.Acton、.actor、.banjo、.help、.actin、.BANKS、.HorseLiKer、.barak、.WannaCry、.caleb、.calix、.deal、Caley、Adair
主要功能
1.勒索信息
2.扩展名后具有长附加字符串的加密文件
3.进程被终止
4.卷影副本和本地备份被删除
5.系统无法在恢复模式下启动
6.防火墙被禁用
勒索特征
勒索弹框:
15. FTCode
FTcode是一种新型勒索病毒,最大的特征是无文件,powershell勒索,全程无二进制文件落地。
正正大佬分析地址:https://www.freebuf.com/articles/system/215888.html
奇安信分析地址:https://www.freebuf.com/column/215713.html
主要传播方式
垃圾邮件发送压缩包,压缩包附带DOC文档。
主要特征
1. 恶意DOC文档启动恶意宏代码
2. 恶意宏代码会启动PowerShell进程执行脚本
3. 从恶意服务器下载PowerShell脚本执行,打开恶意服务器脚本
4. 从恶意服务器下载VBS脚本,然后设置计划任务自启动项
5. 相应的计划任务自启动项WindowsApplicationService
6. 再次解密PowerShell脚本之后为一个恶意软件下载器,会下载安装其他恶意软件
7. 下载完VBS脚本,设置计划任务之后,FTCode PowerShell恶意脚本会解密内置字符串生成一个RSA加密密钥
8.删除磁盘卷影,操作系统备份等
9. 开始加密文件,对指定的文件后缀进行加密,加密后的文件后缀名FTCODE
勒索特征
加密后缀:ftcode
提示信息为:
16. makop
发现时间大约为2020年2月,国内多家医疗机构感染makop勒索病毒,遭受服务器加密,造成业务瘫痪,影响巨大。
360分析地址:https://bbs.360.cn/thread-15849615-1-1.html
常见后缀:
.[honestandhope@qq.com].makop
.[helpmakop@cock.li].makop
.[dino@rape.lol].makop
.[daviderichardo@tutanota.com].makop
.[filerecov3ry@keemail.me].makop
.[helpmakop@cock.li].makop
.[manage.file@messagesafe.io].makop
主要传播方式
IPC 爆破登录
主要功能
1.删除卷影
2.结束指定进程
3.搜索文件进行加密
4.文件加密(对小文件进行全加密,对大文件进行部分加密)
5.勒索信息提示文件
勒索信
17. 一些新型的勒索软件
AepCrpty
加密后缀为aep,勒索提示信息#READ ME - YOUR FILES ARE LOCKED#.rtf
Sapphire
加密后缀sapphire
勒索提示信息如下:
BGUU
勒索提示信息:
RobbinHood
勒索提示信息
HackdoorCrpty3r
加密后缀为hackdoor,勒索提示信息!how_to_unlock_your_file.txt
OnyxLocker
加密后缀onx
最新变种(19年10月)加密后缀为veracrypt
勒索提示信息
@@_ATTENTION_@@.txt
@@_README_@@.txt
@@_RECOVERY_@@.txt
Dishwasher
加密后缀clean,加密后更改桌面背景
Kazkavkovkiz勒索
加密后缀为随机数字,勒索提示信息如下:
MedusaLocker
这个勒索比较火热, 好像是因为该勒索的debug版本被泄露了,深信服分析地址:
https://www.freebuf.com/column/217660.html
360分析地址:https://bbs.360.cn/thread-15813669-1-1.html
主要功能
- 获取管理员权限&留下标记
- 关闭UAC
- 关闭并删除指定服务和进程
- 删除卷影
- 搜索目录及文件
- 加密文件
目前变种的后缀为skynet,勒索提示信息为:Readme.html
sun
加密后缀为sun,提示信息为DECRYPT_INFORMATION.html
Foxy
勒索提示信息如下
Mockba
加密后缀为mockba,勒索提示信息#HOW TO RECOVER YOUR DATA#.txt
Rapid
勒索后缀:droprapid,勒索提示信息!DECRYPT DROPRAPID.txt
Paradise
首次出现在18年7月份左右,Paradise借用了CrySiS的勒索信息。
深信服详细分析:https://www.freebuf.com/articles/system/198942.html
勒索后缀:[原文件名]_[随机字符串]_{immortalsupport@cock.li}.p3rf0rm4
勒索弹框与CrySiS比较像
该病毒近期(19年10月)有最新变种,勒索后缀为FC,勒索提示信息---==%$$$OPEN_ME_UP$$$==---.txt
HDMR
勒索后缀hdmr,勒索提示ReadMeAndContact.txt
Mespinoza
加密后缀locked,提示信息Readme.README
DavesSmith
勒索提示信息RECOVERYFILE.txt
Maze
腾讯分析:https://www.freebuf.com/column/205385.html
变种后缀为随机数字,勒索提示DECRYPT-FILES.txt
加密完成后会修改桌面背景如下:
FuxSocy
加密后缀为a82d
加密后桌面修改如下:
大部分转自p1ut0
上一篇:印度为何没有爆发新冠疫情?美科学家发现奥秘,原来他们真 ...
下一篇:韩国政府坚持了 46 天与病毒共存后,宣布叫停与病毒共存 ... |
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜