[TOC] ## 简介 * 勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解 * **勒索病毒通常使用非对称和对称加密算法组合的形式来加密文件**，绝大部分勒索病毒均无法通过技术手段解密，一般无法溯源，危害巨大 ## 常见的勒索病毒 ### WannaCry * 通过ms17_010永恒之蓝攻击，然后进行网络传播 * 常见后缀名：wncry * 特征：启动时会连接一个不存在的URL,创建系统服务mssecsvc2.0，释放路径为windows目录 ### GlobeImposter * 主要通过钓鱼的方式进行传播，此次攻击目标主要是开启远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密，暂时无法解密 * 常见后缀名：auchentoshan、动物名+4444 等 * 传播方法：RDP 暴力破解、钓鱼邮件、捆绑软件 * 特征：释放在 %appdata% 或 %localappdata% ### Crysis/Dharma * 攻击方法同样是通过远程 RDP 暴力破解的方式，植入用户的服务器进行攻击。由于采用 AES+RSA 的加密方式，其最新版本无法解密 * 常见后缀：id + 勒索邮箱 + 特定后缀 * 传播方式：RDP 暴力破解 * 特征：勒索信位置在 startup 目录；样本位置在 % windir%\\System32、startup 目录、% appdata% 目录 ### GandCrab * 病毒采用Salsa20和RSA-2048算法对文件进行加密，并修改文件后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母，勒索信息文件为GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、\[5-10随机字母\]-DECRYPT.html\\txt，并将感染主机桌面背景替换为勒索信息图片 * 常见后缀：随机生成 * 传播方式：RDP暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播等 * 特征：样本执行完毕后自动删除，并会修改感染主机桌面背景，有后缀 MANUAL.txt、DECRYPT.txt ## 破解方法 * 暴力破解 * 支付赎金 * 阿里的一款数据恢复工具 前提是没有进行关机，病毒是复制一份，然后删除的源文件，几率不高