*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
*本文原创作者:熊猫正正,本文属于FreeBuf原创奖励计划,未经许可禁止转载
勒索病毒席卷全球,给全球各大小政企业都带来了巨大的损失,勒索病毒重点在于防,可是黑客无孔不入,再强大的系统都有可能存在漏洞,万一企业被攻击,已经中了勒索病毒,那该怎么办呢?
我处理过很多勒索病毒应急响应事件,问的最多的一个问题就是:该怎么办?可以解密吗?
大多数企业在中了勒索病毒之后都会非常恐慌,不知怎么办,最直接的办法就是把中毒的机器进行隔离,断网处理,然后等待专业的安全服务人员上门进行处理,针对一般的勒索病毒应急处理方法,如下:
1.断网处理,防止勒索病毒内网传播感染,造成更大的损失;
2.查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本;
3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密;
4.进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞;
5.做好相应的安全防护工作,以防再次感染。
对于新型的勒索病毒样本,安全服务人员还会将样本提交到专业的安全分析师手中,对样本进行详细分析,看能否解密,同时需要对新型的勒索病毒样本进行特征入库操作等等。
如果企业中了勒索病毒,哪些勒索病毒是可以解密的呢?怎么解密,有哪些相关的解密网站?这里给大家介绍几个关于勒索病毒信息查询以及解密的网站,可以在这些网站查询勒索病毒相关信息,以及下载相应的解密工具进行解密。
勒索病毒信息查询网站:https://www.botfrei.de/de/ransomware/galerie.html
(可惜的是这个网站从2018年后就不在更新了)
勒索病毒信息查询网站:https://id-ransomware.malwarehunterteam.com/
卡巴斯基勒索病毒解密工具集:https://noransom.kaspersky.com/
解密工具,可解密如下勒索病毒家族:
Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman(TeslaCrypt) version 3 and 4, Chimera, Crysis (versions 2 and 3), Jaff, Dharma and new versions of Cryakl ransomware,Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (versions 1, 2 and 3), Polyglot aka Marsjoke,Shade version 1 and 2, CoinVault and Bitcryptor,Wildfire,Xorist and Vandev
Avast勒索软件解密工具集:https://www.avast.com/zh-cn/ransomware-decryption-tools
解密工具,可解密如下勒索病毒家族:
Alcatraz Locker, Apocalypse, BadBlock, Bart, Crypt888, CryptoMix, CrySiS, GlobeHiddenTear, Jigsaw, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt
Trendmicro勒索软件解密工具集:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/Tools/RansomwareFileDecryptor/
解密工具,可解密如下勒索病毒家族:
CryptXXX V1, V2, V3*, V4, V5
TeslaCryptV1**, TeslaCryptV2**, TeslaCryptV3, TeslaCryptV4SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER V1
Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe/Purge
nomoreransom勒索软件解密工具集:https://www.nomoreransom.org/zh/decryption-tools.html
解密工具,可解密如下勒索病毒家族:
777, AES_NI, Agen.iih, Alcatraz, Alpha, Amnesia, Amnesia2, Annabelle, Aura, Aurora, Autolt, AutoLocky, BTCWare, BadBlock, BarRax, Bart, BigBobRoss, Bitcryptor, CERBER V1, Chimera, Coinvault, Cry128, Cry9, CrySiS, Cryakl, Crybola, Crypt888, CryptON, CryptXXX V1, V2, V3, V4, V5, CryptMix, Cryptokluchen, DXXD, Damage, Democry, Derialock, Dharma, EncrypTile, Everbe1.0, FenixLocker, FilesLocker V1 and V2, Fury, GandCrabV1, V4, V5, V5.2, GetCrypt, Globe, Globe/Purge, Globe2, Globe3, Globelmposter, Gomasom, HKCrypt, HiddenTear, InsaneCrypt, JSWorm2.0, Jaff, Jigsaw, LECHIFFRE, LambdaLocker, Lamer, Linux.Encoder.1, Linux. Encoder.3, Lortok, MacRansom, Marlboro, Marsjoke aka Polyglot, MegaLocker, Merry X-Mas, MirCop, Mole, Nemucod, NemucodAES, Nmoreira, Noobcrypt, Ozozalocker, PHP, Pewcrypt, Philadelphia, Planetary, Pletor, Popcorn, PyLocky, Rakhni, Rannoh, Rotor, SNSLocker, Shade, Simplocker, Stampado, Teamxrat/Xpan, TeslaCrypt V1, V2, V3, V4, Thanatos, Trustezeb, Wildfire, XData, XORBAT, XORIST, ZQ
nomoreransom勒索病毒解密工具集中,还包含一款Linux平台勒索病毒的解密工具可解密Linux.Encoder.1,Linux.Encoder.3家族,以及一款Mac平台勒索病毒解密工具,可解密MacRansom家族。
Emsisoft勒索软件解密工具集:https://www.emsisoft.com/decrypter/
解密工具,可解密如下勒索病毒家族:
GetCrypt, JSWorm2.0, MegaLocker, ZQ, CryptoPokemon, Planetary, AuroraHKCrypt, PewCrypt, BigBobRoss, NemucodAES, Amnesia2, Amnesia, Cry128Cry9, Damage, CryptON, MRCR, Marlboro, Globe3, OpenToYou, GlobelmposterNMoreira, OzozaLocker, Globe2, Globe, AI-Namrood, FenixLocker, Fabiansomware, Philadelphia, Stampado, ApocalypseVM, Apocalypse, BadBlock, Xorist, 777, AutoLocky, Nemucod, DMALocker2, HydraCrypt, DMALocker, CrypBoss, Gomasom, LeChiffre, KeyBTC, Radamant, CryptInfinite, PClock, CryptoDefense, Harasom
Emsisoft的解密工具都比较新,一些新的勒索病毒解密工具都有。
昨天BitDefender发布了GandCrab最新的解密工具,可以解密GandCrab5.2及以下版本,如下所示:
并公布了GandCrab勒索病毒的发展时间线,如下所示:
上面介绍了很多勒索病毒解密工具,但是如何确定企业是中了哪个勒索病毒家族?然后找到相应的解密工具呢?
在已经感染中毒的机器上找到相应的勒索病毒样本、勒索病毒勒索信息文本,勒索病毒加密后的文件,将这些信息,上传到https://id-ransomware.malwarehunterteam.com/,可以得出是中的哪个勒索病毒家族,然后再上面的几个网站去找相对应的解密工具,同时提醒,因为勒索病毒在不但变种,可能一些家族的旧版解密工具,无法解密新版的变种样本。
欢迎大家关注这篇文章,帮助更多的企业解决勒索病毒问题,一起对抗勒索病毒,为企业安全做一点微不足道的贡献。
安全的路很长,贵在坚持……
*本文原创作者:熊猫正正,本文属于FreeBuf原创奖励计划,未经许可禁止转载
来源:freebuf.com 2019-06-18 14:00:11 by: 熊猫正正
请登录后发表评论
注册