聲明：該文章由作者（ksbugs）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

10月9號總部設在荷蘭海牙的歐洲刑警組織與國際刑警組織共同發(fā)布報告《2019互聯(lián)網(wǎng)有組織犯罪威脅評估》,報告指出數(shù)據(jù)已成為網(wǎng)絡犯罪分子的主機攻擊目標,勒索軟件仍是網(wǎng)絡安全最大威脅,全球各界需要加強合作,聯(lián)合打擊網(wǎng)絡犯罪

盡管全球勒索病毒的總量有所下降,但是有組織有目的針對企業(yè)的勒索病毒攻擊確實越來越多,給全球造成了巨大的經(jīng)濟損失,勒索軟件仍然是網(wǎng)絡安全最大的威脅,成為作案范圍最廣、造成經(jīng)濟損失最嚴重的網(wǎng)絡犯罪形式

朋友發(fā)來一個消息,問我中了哪個家族的勒索病毒,如下所示:

隨后朋友發(fā)來了勒索的相關信息和病毒樣本,此勒索病毒運行之后會修改桌面背景,如下所示:

在每個加密的文件目錄下,會生成兩個超文件HTML的勒索提示文件,如下所示:

超文本文件HTML的內(nèi)容,如下所示:

使用TOR打開勒索病毒解密網(wǎng)站,如下所示:

上面顯示了RUSH GANG 1.3,要解密文件,只能通過郵件聯(lián)系黑客,黑客的郵件聯(lián)系方式:

backupyourfiles@420blaze.it

該勒索病毒使用了反調(diào)試的方法,阻止安全分析人員對樣本進行調(diào)試分析,如下所示:

設置自啟動注冊表項

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,如下所示:

遍歷主機磁盤,如下所示:

生成勒索提示超文件HTML文件,如下所示:

將解密出來的勒索提示信息寫入到HTML文件中,如下所示:

然后遍歷磁盤文件進行加密,加密后的文件后綴為masked,如下所示:

此前已經(jīng)有好幾位工控安全的朋友前來咨詢我,勒索病毒針對工控行業(yè)的攻擊似乎也越來越多了,各位工控企業(yè)一定要做好勒索病毒的防范措施,以防被勒索病毒勒索加密,千萬不能掉以輕心,黑客無時無刻不在尋找著新的攻擊目標

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/