鬼影病毒专杀工具（如何彻底清除鬼影病毒软件）

本质上来讲，工具是无害的，取决于使用的人，就像一把菜刀，可以用来切菜，也可以用来砍人，不过话又说回来，在特定场景和环境，我们又不得不对这些工具进行限制，同样以菜刀为例，菜刀在国内地铁环境下，即密集人流环境下，多数情况下是不允许被携带的，原因相信大家都懂的。

其实，对网络安全、攻防对抗来讲，工具也是承担类似的角色，黑产团队可以用这些工具，安全团队也可以用这些工具，至于利弊来讲，是取决于使用者的最终目的的。以开源工具Process Hacker为例，安全团队可以用这个工具进行应急响应、恶意进程分析、病毒查杀；而黑产团队可以用这个工具对安全软件进行卸载，对系统或应用级保护机制进行破坏。

对从事勒索病毒活动的攻击者来讲，同样存在上述现象，攻击者可以使用大量的工具进行攻击活动。深信服安全团队处理过大量的勒索病毒案例，从攻击现场，捕获了大量的工具，这些工具都是攻击者所使用的。当然，这些工具本身也可以被用于正常用途。

工具 ProcessHacker

Process Hacker是一款针对高级用户的安全分析工具，它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外，它还可以检测恶意进程，并告知我们这些恶意进程想要实现的功能。Process Hacker是一个开源项目，Process Hacker跟ProcessExplorer十分相似，但是Process Hacker提供了更多的功能以及选项。而且由于它是完全开源的，所以我们还可以根据自己的需要来自定义其他功能。就是这样一款工具，安全人员和黑客，均可以拿来使用，至于是用来应急响应和查杀病毒，还是用来破坏系统或应用，就取决于使用者。我们在大量的勒索病毒攻击中，发现很多中勒索病毒的主机，黑客都会上传一份ProcessHacker，在执行勒索病毒前，先把本地保护机制破坏掉，防止加密过程被中断。

RDP_Connector

RDP连接工具，勒索病毒攻击活动中，RDP弱密码作为一个很严重的问题，经常会被利用。

2017年5月12日WannaCry勒索病毒在全球爆发，勒索病毒利用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w 用户，包括学校、医疗、政府等各个领域。

Confluence漏洞(CVE-2019-3396)

Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki。2019年4月份，深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件，已有政企机构受到攻击，黑客团伙通过漏洞利用入侵服务器，上传Downloader脚本文件，连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联，该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。

注：上图显示了某款勒索软件所内置的Tomcat任意文件上传漏洞利用代码。

WebLogic任意文件上传漏洞(CVE-2018-2894)

Satan勒索病毒已更新到V4.2版本，在最新版本中新增加了利用CVE-2018-2894（WebLogic任意文件上传漏洞）进行传播。

注：上图显示了某款勒索软件所内置的Weblogic WLS组件漏洞利用代码。

WinRar漏洞(CVE-2018-20250)

2019年2月21日，通用压缩软件WinRAR被爆出存在严重的安全漏洞，据称有超过5 亿的用户可能受到该漏洞影响。被发现漏洞的是WinRAR安装目录中的一个名为”UNACEV2.dll”的动态链接库文件，该文件自 2005 年发布至今就从未有过更新过。同年3月17日，首个利用WinRAR漏洞传播勒索病毒的ACE文件即被发现。当受害者在本地主机上通过WinRAR解压该文件后便会触发漏洞，漏洞利用成功后会将内置的勒索软件写入到用户主机启动项中，当用户重启或登录系统都会触发执行该勒索软件，从而导致重要文件被加密。

Windows ALPC 特权升级漏洞(CVE-2018-8440)Windows提权漏洞(CVE-2018-8120)

在勒索病毒攻击活动中，也有一些勒索病毒使用了提权漏洞。譬如CVE-2018-8120的存在，在Windows 7、Windows Server 2008 R2和Windows Server 2008中允许从内核提升权限。由于系统进程令牌中存在错误对象，因此更改恶意软件中的此令牌会导致恶意软件使用系统权限。

一款叫Princess（”公主”）的勒索软件，就集成了上诉多个漏洞利用代码。

Spring Data Commons远程代码执行漏洞(CVE-2018-1273)

社工与爆破

除了工具和漏洞，社工与爆破，也在勒索病毒活动中扮演了十分重要的角色。

VNC爆破

2019年3月，针对远程管理工具VNC进行大范围扫描探测被发现，攻击者使用弱口令字典对运行VNC服务的机器进行爆破连接。爆破成功后，该团伙会在中招企业网络中运行多种病毒木马，包括GandCrab5.2勒索病毒、门罗币挖矿木马、数字货币钱包劫持木马等均被下载运行。

RDP爆破

2018年8月，深信服安全团队陆续接到政府、国企、医疗等多个行业用户反馈，其业务系统在短时间内出现被勒索加密现象，造成服务器大面积瘫痪，情况危急，原因不明，对如何遏止影响进一步扩大束手无策。深信服安全团队，通过深入追踪分析，发现大面积瘫痪，主要是统一的RDP弱密码造成的，勒索家族为CrySiS，目前仍然是比较活跃的勒索家族之一。黑客主要利用大量黑客工具，进行RDP爆破，利用统一密码特性，使用相同密码对全网业务进行集中攻击，导致重要数据被加密。

Web管理后台弱口令爆破

勒索病毒GandCrab曾多次被爆出通过暴力破解Tomcat Web服务器弱密码实现入侵。例如通过入侵通过Tomcat Manager管理后台弱口令进行爆破，爆破成功后，攻击者会上传一个war包，该war包中包含了一个JSP网页木马，这是一个拥有最高权限的WebShell。攻击一旦得手，黑客就会以此为跳板，继续向内网扩散。

SMB爆破

SMB是一种非常常用的网络共享协议，基于SMB漏洞的勒索病毒入侵很多，典型的就是WannaCry勒索病毒。其实，SMB爆破也是勒索病毒入侵的一种常见方式。黑客深入内网后，常见会利用攻击工具（SMB弱口令爆破）在局域网内横向扩散。从调查来看，虽然机构大多都有及时修复高危漏洞的意识，但是由于管理不到位，SMB账号爆破风险依然存在，给了黑客可乘之机。

MySQL爆破

2019年9月，深信服安全团队发现，全国各地有多处针对MySQL数据库的勒索病毒现象发生，其主要入侵手段是MySQL账号密码爆破，与以往勒索病毒攻击相差较大的是，表现为不在操作系统层面加密任何文件，而是直接登录MySQL数据库，在数据库应用里面执行加密动作。加密行为主要有，遍历数据库所有的表，加密表每一条记录的所有字段，每张表会被追加_encrypt后缀，并且对应表会创建对应的勒索信息。

钓鱼邮件

2019年4月，深信服安全团队接到包括金融行业在内的多家企业反馈，其内部员工收到可疑邮件。邮件发件人显示为”National Tax Service”（译为”国家税务局”），邮箱地址为lijinho@cgov.us，意图伪装成美国政府专用的邮箱地址gov.us。追踪发现，该邮件为GandCrab5.2勒索病毒的钓鱼邮件，用户如果尝试打开该邮件附件，就会中勒索病毒，从而造成不可估量的损失。

U盘投毒

2018年12月，GandCrab勒索病毒通过U盘和压缩文件传播，一度活跃在包括局域网在内的众多终端上。该蠕虫病毒构成的僵尸网络，过去主要传播远控、窃密、挖矿等木马病毒，而现在开始投递GandCrab勒索病毒。

在地下论坛购买RDP账号

地下论坛一直是黑产的温床，对有些黑客来说，并不一定要自己亲自去破解用户账号密码。以勒索病毒为例，很早就爆出，一个RDP账号大概20美元，在地下论坛和市场可以直接购买，然后用于勒索病毒攻击活动，赚取勒索成功后的巨大差价。

僵尸网络

2019年7月，深信服安全团队捕获到一起利用Trickbot僵尸网络下发Ryuk勒索病毒的攻击事件。Ryuk勒索病毒最早于2018年8月被安全研究人员披露，名称来源于死亡笔记中的死神。该勒索病毒运营团伙最早通过远程桌面服务等方式针对大型企业进行攻击。起初由于代码结构与Hermes勒索病毒十分相似，研究人员将Ryuk勒索事件归因于朝鲜的APT组织Lazarus。随后，国外安全团队发现了针对已经被TrickBot攻击的受害者的Ryuk勒索活动，由此关联出Ryuk勒索事件实为俄罗斯黑客组织GRIM SPIDER所为。在这里是想提醒大家，现存的僵尸网络是很庞大的，如果后期僵尸网络大量被用于勒索攻击，是一件非常可怕的事情。

破解软件

由于某方面原因，有不少用户喜欢用一些破解或者捆绑类软件，其实天下没有免费的午餐，破解或者捆绑软件，给你带来”便利”的同时，说不定就会给你预留一个大坑。2018年12月，深信服安全团队发现一款cexplorer.exe软件，通过被捆绑的方式而携带了勒索病毒。该勒索病毒与正常的应用软件捆绑在一起运行，捆绑的勒索病毒为STOP勒索病毒的变种，加密后缀为.djvu。如果用户到官方站点下载，切勿轻信第三方下载链接，就可以大大规避此类中招风险，说到底，还是员工安全意识不到位。

结论

通过盘点，可以看到，大量的工具、漏洞、社工与爆破被应用在勒索病毒攻击活动中。实际上，勒索病毒是一个高度经济化的产物，如何理解呢？就是各个黑产团队，会想方设法以最小代价获取最大利益，因为攻击有一个成本问题。

以工具为例，其实黑客进行勒索病毒攻击所使用的工具，很难说就是”黑客工具”，这里面有很多工具也可以用于正常用途，例如Process Hacker和PC Hunter这种，就是可以用来排查病毒和强制杀死病毒进程的。但实际上，这类安全人员所使用的工具，并没有规定黑客不能用啊，而且他们完全没有必要去重新开发，”拿来主义”很方便。既然能用这类工具做对抗，即破坏安全软件的环境，使勒索病毒能正常运行，所以就会被黑客所频繁使用。再比如PsExec工具，这个是微软官方网站的一个工具，所谓”根正苗红”，但照样被黑客拿去从事勒索病毒攻击活动。

以漏洞为例，目标企业（被勒索病毒入侵的对象），本身的系统、版本、业务和软件是繁多的，有多少漏洞很难讲，但实际上，很多时候，黑客并不是要找”最难找”的漏洞（或者发现最新的漏洞，如0day），也不是要”找全”所有的漏洞，作为突破口，很多时候，往往找到一个”最好找”的漏洞即可，由此在目标企业内网撕开一个口子，漫游内网，并将勒索病毒在内网大肆传播，获取巨大利润。

以社工和爆破为例，目标企业并不是所有人都有很好的安全意识，而攻破一个企业，并不需要把所有人都攻击到位，只要有个别员工存在”疏忽”行为，点击不明邮件或下载运行不明软件，都有可能带来入口点的突破，从而导致后面勒索病毒在内网的横向。而且安全和易用性往往有一定的矛盾性，安全部门强调安全性，业务部门强调易用性。业务部门作为生产部门，有很大的话语权，有时候为了更快的运转，更”方便”底下员工，在管控上都做的不是很到位。譬如，U盘可以乱插拔，网络可以随意介入，甚至为了方便（防止忘记密码），内网大量主机和服务器常常设置弱密码，并且基本不更新。

工具种类的繁多，本质上是数字化繁荣，即社会活动前所未有的向数字化方向转移，设想能用软件解决的问题，谁还会手动去操作或者记录？能用工具解决的问题，就没必要用命令行或者大量重复的操作。也就是说，同大多数新型事务一样，勒索病毒也从数字化繁荣中”得到了发展”，或者”越来越猖獗”。

漏洞，本质是软件的弱点，这个也很难根治，并且随着数字化和信息化时代的繁荣，软件开发速度只会越来越快，种类只会越来越多，版本也是纷繁复杂，所以从长期趋势来讲，黑客可利用的漏洞，是正相关的。而所有漏洞利用和攻击中，勒索病毒凭借”短平快”的特点，几乎会长期存在，并且日趋严重。

从社工与爆破来看，内在本质是人的弱点，这个弱点是具有普遍性、通用性的，任何一个人或者一名员工都有可能有这个弱点。虽然说漏洞衍生意义来讲，是软件的弱点，软件衍生意义来讲，也是人的弱点，不过这更多是一个行业人员的弱点，譬如软件开发者。就勒索病毒来讲，在社工与爆破方面，其实只要找到一个这样的人并成功实施即可，所以对人的安全意识之加强，也是十分繁重的任务。

回到最开始的问题，从技术角度，勒索病毒为何会如此猖獗？答案还是很明显的，信息化、数字化浪潮中，很多安全问题错综复杂，亟待解决。而企业在安全建设的投入，逐渐跟不上攻击者的”投入”。或者通俗的讲，就是得投入更多的人力、更多的基础设施，去建设企业安全，而不是等勒索病毒出现了再采取行动。

解决方案

其实勒索病毒演变至今，已经不再是单纯的个人行为，必须以集体力量对抗集体力量。

勒索病毒攻击者已经产业化运作，防护者更不应该只是单纯的只依赖某个软件，就指望着解决所有问题，这是很困难的，防勒索，还得系统化思考，深层次多角度进行产业化对抗。

针对勒索病毒，深信服有一套完整的整体解决方案。深信服下一代安全防护体系（深信服安全云、深信服下一代防火墙AF、深信服安全感知平台SIP、深信服终端检测与响应平台EDR）通过联动云端、网络、终端进行协同响应，建立全面的事前检测预警、事中防御、事后处理的整套安全防护体系。云端持续趋势风险监控与预警、网络侧实时流量检测与防御、终端事后查杀与溯源，从用户场景出发，解决系统脆弱性和保证事件响应高效性。

系统脆弱性方面，深信服构建了强大的脆弱性发现和修复机制，降低系统脆弱性风险，主要建设能力包括：漏洞管理、渗透测试、系统和网络监控、基线核查、日志聚合与数据分析、补丁管理和部署、安全运营中心等。

事件响应高效性方面，深信服构建了云网端 安全服务的一整套完整解决方案，我们拥有完整专业的勒索病毒响应流程，防火墙、安全感知、EDR、安全云脑能在勒索病毒事件发生的全生命周期，进行检测、拦截和封堵，结合后端强大的安全专家队伍，能最大限度、最快的保护企业核心数据资产免受勒索病毒的侵害。