orkf勒索病毒数据恢复思路
最近遇到的一起被勒索案例,被勒索加密的文件后缀是.orkf。勒索信如下:
勒索几百美刀,主要是针对个人PC的勒索病毒。
分析结论:
根据该勒索加密样本与源文件对比分析,发现该勒索病毒加密特征为对文件头进行加密,逐字节加密每个文件,然后保存文件副本,删除(而不是覆盖)原始文件。并在文件尾部添加病毒特征码。由于文件的中间部分未被加密,所以对于一些大的文件有可能能够恢复部分数据。
最近遇到的一起被勒索案例,被勒索加密的文件后缀是.orkf。勒索信如下:
勒索几百美刀,主要是针对个人PC的勒索病毒。
分析结论:
根据该勒索加密样本与源文件对比分析,发现该勒索病毒加密特征为对文件头进行加密,逐字节加密每个文件,然后保存文件副本,删除(而不是覆盖)原始文件。并在文件尾部添加病毒特征码。由于文件的中间部分未被加密,所以对于一些大的文件有可能能够恢复部分数据。
阅读更多导语:TemTNT挖矿家族,腾讯云安全中心已经对挖矿脚本有了详细的分析。所以本文不会去分析挖矿脚本代码。而是从应急响应的视角,通过溯源的方式去分析挖矿木马以及给出清理方案。
阅读更多最近一次应急,机器的某个低权用户被ssh爆破登录成功,入侵后执行恶意脚本却为root权限?
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
什么是挖矿木马?
整体的攻击流程大致如下图所示:
阅读更多Linux下vsftpd是ftp服务最常用的组件,本文件主要介绍如何开启ftp的日志,在应急响应过程中如何快速排查相关日志文件。
阅读更多