勒索病毒逆向分析全过程

勒索病毒（Ransomware）是一类以加密用户数据、锁定系统访问为核心，索要赎金以提供解密服务的恶意软件，目前已演化出加密型、锁定型、双重勒索等多种变体，典型家族包括Conti、WannaCry、Rhysida、REvil等。其逆向分析核心目标是：还原病毒行为逻辑、提取威胁指标（IOC）、解析加密机制、挖掘防御与解密突破口。以下是可复现、全流程的勒索病毒逆向分析步骤，涵盖环境搭建、静态分析、动态分析、代码调试、IOC提取及清除防护，兼顾基础操作与进阶技巧。

一、分析前核心准备：安全隔离与工具部署

勒索病毒具有极强的破坏性（加密文件、横向传播），隔离环境是分析的前提，严禁在物理机或联网生产环境中直接运行样本，所有操作均在隔离虚拟机中完成。

1. 隔离环境配置（必做）

• 虚拟机软件：VMware Workstation / VirtualBox（推荐16.0及以上版本，支持快照还原）

• 操作系统：Windows 7/10 32位/64位（适配多数勒索病毒，部分Linux变体需搭配Ubuntu/CentOS虚拟机）

• 网络设置：断网或仅主机模式，禁止样本外联C2服务器、下载额外恶意载荷或横向传播至其他设备

• 环境快照：搭建干净系统后（未安装多余软件、关闭实时防护），拍摄初始快照；每次运行样本前，还原至干净快照，避免环境污染

• 辅助配置：关闭系统还原、禁用Windows Defender等实时防护，避免样本被拦截；提前备份虚拟机文件，防止意外损坏

2. 必备工具清单（按分析环节分类）

2.1 样本预处理工具

• 样本脱壳：UPX、QuickUnpack、Unipacker、x64dbg（应对VMProtect等常见壳，多数勒索病毒会加壳对抗逆向）

• 字符串提取：FLOSS（提取混淆/加密字符串，优于传统strings工具）、Notepad++（查看明文配置）

• 哈希计算：CertUtil（Windows自带）、HashMyFiles（批量计算MD5/SHA1/SHA256，用于样本唯一性验证和威胁情报匹配）

• 内存采集：Belkasoft RAM Capturer（捕获内存快照，提取运行时进程数据、密钥碎片等）

2.2 静态分析工具

• 反编译工具：IDA Pro（核心，支持x86/x64反编译，解析加密逻辑和核心函数）、Ghidra（开源替代，适合新手）

• PE结构分析：PEview、PE Studio（查看PE头、导入表、资源段，识别异常函数调用和签名）

• 特征匹配：YARA（自定义规则，匹配勒索病毒家族特征字符串或代码模式）、VirusTotal（上传样本哈希，确认病毒家族和已知特征）

• 熵值分析：熵值计算器（判断样本是否加密/加壳，勒索病毒加密模块或加壳后熵值通常高于7.5）

2.3 动态分析工具

• 进程/行为监控：Process Monitor（Procmon，监控文件操作、注册表修改、进程创建）、Process Explorer（Procexp，查看进程树和模块加载）

• 网络监控：Wireshark（捕获网络请求，分析C2通信、数据渗出行为，即使断网也需监控样本外联尝试）

• 启动项监控：Autoruns（查看病毒持久化方式，如注册表启动项、计划任务）

• 沙箱工具：Cuckoo Sandbox（自动化动态分析，生成行为报告，适合批量样本分析）

2.4 调试与加密分析工具

• 调试器：x64dbg（动态调试，定位OEP、跟踪加密流程）、OllyDbg（32位样本适配）、WinDbg（内核级调试，分析驱动级勒索病毒）

• 加密算法分析：IDA插件（如FindCrypt，识别AES、RSA等加密算法特征）、Cryptool（验证加密算法实现）

• 勒索信提取：Everything（快速搜索受感染目录中的勒索信，如README.txt、_DECRYPT.txt）

二、Step 1：样本预处理与静态预分析（无运行风险）

静态预分析无需运行样本，核心是提取样本基础信息、初步判断病毒家族和核心特征，为后续动态分析和调试提供方向，是逆向分析的基础环节。

1. 样本基础信息采集

• 样本识别：记录样本文件名（通常伪装为正常文件，如setup.exe、document.docx.exe）、后缀（多为.exe，部分为脚本类.vbs/.js）、大小（通常100KB-5MB，加壳后可能更小）

• 哈希计算：使用CertUtil或HashMyFiles计算样本MD5、SHA1、SHA256，上传VirusTotal查询，确认病毒家族（如显示"Conti Ransomware""WannaCry"）、检测率和已知IOC

• 勒索信与样本对收集：若有受感染环境，提取勒索信（通常位于文件系统根目录或用户目录），收集至少5组加密前后的文件样本对，用于后续加密算法分析

2. 脱壳处理（关键步骤）

多数勒索病毒会加壳（如UPX、VMProtect）隐藏核心代码，若不脱壳，后续静态分析会无法识别真实函数和逻辑，脱壳核心是找到原始入口点（OEP）并修复PE结构。

• 简单脱壳（UPX壳）：使用UPX工具，执行命令"upx -d 样本路径.exe"，脱壳后样本大小会增加，PE结构恢复正常

• 复杂脱壳（VMProtect壳）：使用x64dbg调试，通过3种常用方法找OEP：

  • 方法1：在.text段下内存执行断点，运行至断点处即为OEP；

  • 方法2：利用VS编译器堆栈安全检查特性，通过交叉引用找到__tmainCRTStartup函数，追溯至OEP；

  • 方法3：在栈顶下硬件访问断点，多次运行后跟踪至OEP，修复PE结构后导出脱壳样本。

• 脱壳验证：用PEview查看脱壳后样本的导入表，若能正常显示Advapi32.dll（加密相关）、Kernel32.dll（进程/文件操作）等关键模块，说明脱壳成功。

3. 静态特征深度分析

3.1 字符串提取与分析

使用FLOSS工具（命令"floss --no-static-strings 样本.exe > strings.txt"）提取混淆/加密字符串，重点关注以下几类：

• 勒索相关：勒索信模板（如"Your files are encrypted""Pay ransom to decrypt"）、赎金支付方式（比特币地址、暗网链接）、加密后缀（如.Conti、.locked、.Rhysida）；

• 系统操作相关：系统路径（C:\Windows\、%APPDATA%、%temp%）、文件操作命令（del、copy）、禁用系统功能命令（vssadmin delete shadows，删除卷影副本，阻止数据恢复）；

• 加密相关：加密算法关键词（AES、RSA、ChaCha20、CryptEncrypt、CryptGenKey）、密钥相关字符串（public key、private key、session key）；

• 网络相关：C2服务器IP/域名、网络请求函数（CreateObject("MSXML2.XMLHTTP")、WinHttp.WinHttpRequest）、User-Agent标识；

• 持久化相关：注册表路径（HKLM\Software\Microsoft\Windows\CurrentVersion\Run）、计划任务名称、互斥体名称（防止多实例运行，如"Conti_Mutex"）。

3.2 PE结构与导入表分析

• PE头分析：用PEview查看PE头，重点关注节区分布（若.text节熵值过高，可能仍有加密/混淆）、入口点（OEP）、数字证书（多数勒索病毒无有效证书，或使用伪造证书）；

• 导入表分析：重点查看导入的API函数，核心函数分类如下：

  • 文件操作：CreateFileA、ReadFile、WriteFile、DeleteFileA（用于遍历文件、加密写入、删除原始文件）；

  • 加密操作：CryptAcquireContext、CryptGenKey、CryptEncrypt、CryptExportKey（用于生成密钥、加密文件）；

  • 进程/系统操作：CreateProcessA、TerminateProcess、SystemParametersInfo（用于启动进程、终止安全进程、修改桌面壁纸）；

  • 注册表操作：RegOpenKeyEx、RegSetValueEx、RegCloseKey（用于写入启动项，实现持久化）；

  • 网络操作：WSAStartup、connect、send（用于连接C2服务器，传输数据或获取指令）。

3.3 熵值与特征码分析

• 熵值分析：计算样本整体及各节区熵值，勒索病毒的加密模块或核心代码段熵值通常在7.5以上（正常文件熵值约6.2-6.8），熵值异常可初步判断存在加密或混淆；

• 特征码提取：使用特征码提取工具，从样本代码段、数据段提取唯一特征（如特定指令序列、API调用组合），编写YARA规则，用于批量检测同家族病毒，示例规则如下： rule Conti_Ransomware { ``meta: ``description = "Detect Conti Ransomware" ``author = "Security Analyst" ``date = "2026-04-09" ``strings: ``$a = "Conti" wide ascii ``$b = { 55 8B EC 81 EC ?? ?? ?? ?? 53 56 57 8B 7D 0C } // 核心函数入口指令 ``$c = "Your files are encrypted by Conti" wide ascii ``condition: ``2 of them ``}

3.4 静态分析总结

结合上述分析，明确以下信息：病毒家族、是否加壳/加密、核心字符串（勒索信息、C2地址、加密后缀）、关键API函数、初步判断的持久化和加密方式，为动态分析制定重点监控方向。

三、Step 2：动态行为分析（黑盒监控，核心环节）

动态分析通过运行样本，监控其在系统中的所有行为，还原勒索病毒的完整攻击链路（持久化→文件加密→勒索提示→横向传播/数据渗出），是提取IOC和理解病毒行为的关键。

1. 动态监控准备

• 启动所有监控工具：Procmon（筛选"进程名称=样本.exe"，监控文件、注册表、进程操作）、Procexp（实时查看样本进程及子进程）、Wireshark（捕获所有网络流量）、Autoruns（监控启动项变化）；

• 配置Procmon筛选规则：排除系统无关进程，仅保留样本相关的"CreateFile""WriteFile""RegSetValue""CreateProcess"等操作，避免日志冗余；

• 还原虚拟机快照：确保环境干净，避免历史操作影响分析结果；

• 运行样本：双击样本或通过命令行（如"样本.exe"）运行，立即切换至监控工具，观察实时行为，若出现文件加密或弹窗，可及时终止样本进程（避免过度破坏环境）。

2. 核心行为捕获（按攻击链路分类）

2.1 初始化与反分析行为

• 反调试/反沙箱：检测是否运行在虚拟机（如读取VMware相关注册表）、是否存在调试器（如CheckRemoteDebuggerPresent函数），若检测到则终止运行或篡改行为；

• 互斥体创建：创建唯一互斥体（如"Ransomware_Mutex"），防止多实例运行，避免重复加密；

• 权限提升：尝试通过UAC绕过、利用系统漏洞（如WannaCry利用EternalBlue漏洞）提升至管理员权限，以便执行删除卷影副本、修改系统设置等操作。

2.2 持久化行为（确保重启后仍能运行）

勒索病毒常用3种持久化方式，需重点监控：

• 注册表启动项：写入HKLM\Software\Microsoft\Windows\CurrentVersion\Run或HKCU\Software\Microsoft\Windows\CurrentVersion\Run，键值为样本路径（如"C:\Windows\System32\ransom.exe"）；

• 计划任务：通过schtasks命令创建计划任务，设置开机启动或定期运行样本（如"schtasks /create /tn RansomTask /tr 样本路径 /sc onstart"）；

• 文件关联篡改：将.txt、.docx等常用文件关联劫持为样本，用户双击文件时启动病毒；或替换系统关键文件（如explorer.exe），实现开机自启。

2.3 文件加密行为（核心Payload）

文件加密是勒索病毒的核心行为，不同家族加密机制略有差异，但整体流程一致，通过Procmon可清晰捕获：

• 文件遍历：递归遍历全盘（C:\、D:\等），筛选高价值文件（文档、图片、视频、数据库等），跳过系统文件（如.exe、.dll）和自身进程文件，避免系统崩溃；

• 加密流程（混合加密体制，主流方案）：

  • 生成会话密钥（Session Key）：使用AES-256或ChaCha20算法生成随机会话密钥，用于加密文件内容（对称加密，速度快，适合大文件）；

  • 加密会话密钥：使用硬编码在病毒中的RSA-2048或ECC公钥，加密会话密钥（非对称加密，安全性高，仅黑客私钥可解密）；

  • 文件加密：读取目标文件内容，用会话密钥加密，覆盖原始文件，并重命名（添加加密后缀，如"document.docx.Conti"）；

  • 密钥存储：将加密后的会话密钥写入加密文件头部/尾部，或上传至C2服务器，便于黑客解密时获取。

• 防恢复操作：执行"vssadmin delete shadows /all"删除系统卷影副本，禁用系统还原，阻止用户通过备份恢复文件；部分变体还会删除回收站文件、清理系统日志。

2.4 勒索提示行为

• 生成勒索信：在每个被加密目录或系统根目录，生成勒索信（通常为README.txt、_DECRYPT.txt），包含赎金金额、支付方式（比特币、门罗币）、暗网联系方式、解密期限等信息；

• 界面提示：修改桌面壁纸为勒索提示图片，弹出弹窗显示勒索信息，部分变体还会锁定系统桌面，阻止用户操作；

• 双重勒索行为（部分家族，如Conti、REvil）：加密文件前，先窃取用户敏感数据（如数据库、客户资料），上传至C2服务器，威胁若不支付赎金则公开数据，增加勒索压力。

2.5 网络与横向传播行为（部分变体）

• C2通信：连接硬编码的C2服务器，上传感染主机信息（IP、主机名、加密文件列表）、窃取的敏感数据，下载解密工具（需支付赎金后获取）或额外恶意载荷；

• 横向传播：利用系统漏洞（如EternalBlue）、远程桌面（RDP）暴力破解、局域网共享文件传播，感染内网多台设备（如NotPetya、WannaCry）；

• 数据渗出：通过HTTP、FTP或加密通道，将窃取的敏感数据传输至C2服务器，实现双重勒索。

2.6 动态分析IOC记录（必做）

实时记录所有关键IOC，用于后续清除、检测和威胁溯源，重点记录以下内容：

• 文件IOC：病毒本体路径（如C:\Windows\System32\ransom.exe）、加密文件后缀（如.Conti）、勒索信文件名（如README.txt）、临时文件路径（如%temp%\ransom.tmp）；

• 注册表IOC：启动项路径及键值（如HKLM\...\Run\Ransom）、篡改的注册表项（如禁用任务管理器的注册表键）；

• 进程IOC：样本进程名（如ransom.exe）、子进程名（如cmd.exe、vssadmin.exe）；

• 网络IOC：C2服务器IP/域名、通信端口、User-Agent、传输协议（HTTP/TCP）；

• 行为IOC：关键命令（如vssadmin delete shadows /all）、加密后缀、互斥体名称。

四、Step 3：代码逆向与加密逻辑深度分析（静态+动态结合）

动态分析明确了病毒"做什么"，代码逆向则要搞清楚"怎么做"，核心是解析加密机制、还原核心函数逻辑，挖掘可能的解密突破口（如算法漏洞、密钥泄露）。

1. 核心函数定位（基于IDA Pro）

将脱壳后的样本导入IDA Pro，等待反编译完成，通过以下方法定位核心函数：

• 通过导入表定位：在IDA的Imports窗口，搜索加密相关API（如CryptEncrypt、CryptGenKey）、文件操作API（如CreateFileA），双击API查看交叉引用（Xref），追溯至调用该API的核心函数；

• 通过字符串定位：在IDA的Strings窗口，搜索勒索相关字符串（如"Your files are encrypted"）、加密后缀，双击字符串查看交叉引用，定位到勒索提示函数；

• 通过函数特征定位：使用IDA插件FindCrypt，识别AES、RSA等加密算法的特征指令，快速定位加密函数；

• 核心函数分类：重点分析4类函数------初始化函数（反调试、互斥体创建）、持久化函数（注册表/计划任务操作）、加密函数（密钥生成、文件加密）、网络函数（C2通信、数据渗出）。

2. 核心函数逆向解析（以加密函数为例）

勒索病毒的加密函数是逆向重点，以下是典型加密函数的伪代码（IDA反编译后修饰）及解析：

// 勒索病毒典型加密函数伪代码 void __cdecl EncryptFile(char *FileName, HCRYPTKEY hPublicKey) { HCRYPTKEY hSessionKey; // AES会话密钥 HANDLE hFile; // 目标文件句柄 BYTE buffer[1024]; // 文件读取缓冲区 DWORD bytesRead; // 读取字节数 BYTE encryptedSessionKey[256]; // 加密后的会话密钥 DWORD keyLen = 256; // 密钥长度 // 1. 生成AES-256会话密钥 CryptGenKey(hProv, CALG_AES_256, CRYPT_EXPORTABLE, &hSessionKey); // 2. 打开目标文件（可读可写） hFile = CreateFileA(FileName, GENERIC_READ | GENERIC_WRITE, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile == INVALID_HANDLE_VALUE) return; // 3. 循环读取文件内容，用会话密钥加密并覆盖 while (ReadFile(hFile, buffer, 1024, &bytesRead, NULL) && bytesRead > 0) { CryptEncrypt(hSessionKey, 0, TRUE, 0, buffer, &bytesRead, 1024); SetFilePointer(hFile, -bytesRead, NULL, FILE_CURRENT); WriteFile(hFile, buffer, bytesRead, NULL, NULL); } // 4. 用RSA公钥加密会话密钥，写入文件尾部 CryptExportKey(hSessionKey, hPublicKey, SIMPLEBLOB, 0, encryptedSessionKey, &keyLen); SetFilePointer(hFile, 0, NULL, FILE_END); WriteFile(hFile, encryptedSessionKey, keyLen, NULL, NULL); // 5. 关闭文件和密钥句柄 CloseHandle(hFile); CryptDestroyKey(hSessionKey); }

解析要点：

• 会话密钥生成：通过CryptGenKey生成AES-256密钥，每次加密文件生成随机密钥，确保不同文件加密密钥不同；

• 双重加密机制：AES加密文件内容（高效），RSA加密AES密钥（安全），只有黑客拥有RSA私钥，才能解密AES密钥，进而解密文件；

• 密钥存储：加密后的AES密钥写入文件尾部，便于黑客获取密钥进行解密；部分变体将密钥上传至C2服务器，本地不存储。

3. 其他核心函数解析

3.1 持久化函数

核心逻辑：通过RegOpenKeyEx打开注册表Run键，RegSetValueEx写入样本路径，实现开机自启，伪代码示例：

void SetStartup() { HKEY hKey; char path[MAX_PATH]; GetModuleFileNameA(NULL, path, MAX_PATH); // 获取自身路径 RegOpenKeyExA(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, KEY_SET_VALUE, &hKey); RegSetValueExA(hKey, "Ransomware", 0, REG_SZ, (BYTE*)path, strlen(path) + 1); RegCloseKey(hKey); }

3.2 勒索信生成函数

核心逻辑：创建文本文件，写入勒索信内容，保存至系统根目录和被加密目录，伪代码示例：

void CreateRansomNote() { HANDLE hFile = CreateFileA("C:\\README.txt", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL); char note[] = "Your files are encrypted by Conti Ransomware.\nPay 0.5 BTC to bc1qxy2kgdygjrsqtzq2n0yrf2490.\nContact us via darkweb for decryption tool."; WriteFile(hFile, note, strlen(note), NULL, NULL); CloseHandle(hFile); }

3.3 反调试/反沙箱函数

核心逻辑：检测调试器、虚拟机环境，若检测到则终止进程，伪代码示例：

int AntiDebug() { if (CheckRemoteDebuggerPresent(GetCurrentProcess(), &isDebugger)) { ExitProcess(0); // 检测到调试器，终止进程 } // 检测虚拟机（读取VMware相关注册表） HKEY hKey; if (RegOpenKeyExA(HKEY_LOCAL_MACHINE, "SOFTWARE\\VMware, Inc.\\VMware Tools", 0, KEY_READ, &hKey) == ERROR_SUCCESS) { ExitProcess(0); // 检测到虚拟机，终止进程 } return 1; }

4. 加密机制深度分析与解密突破口

• 常见加密算法：多数勒索病毒采用"AES-256+RSA-2048"混合加密，部分变体使用ChaCha20替代AES（如WannaCry），ECC替代RSA（更高效）；

• 解密突破口：

  • 算法漏洞：部分勒索病毒存在实现漏洞，如Rhysida勒索病毒的随机数生成器存在漏洞，可通过再生随机数状态获取密钥，实现解密；

  • 密钥泄露：若病毒将RSA私钥硬编码在样本中（极少数），可通过IDA提取私钥，编写解密工具；

  • Kill Switch：部分勒索病毒存在自毁开关（如WannaCry），若访问特定域名成功，会停止加密行为，可通过分析代码找到该域名，实现防御；

  • 调试获取密钥：在加密函数断点处，跟踪会话密钥（AES密钥）的内存地址，获取明文密钥，用于解密对应文件。

五、Step 4：动态调试与行为验证（精准验证逻辑）

动态调试通过x64dbg/OllyDbg，单步跟踪代码执行，验证静态逆向的逻辑正确性，捕获运行时数据（如密钥、C2地址），是逆向分析的"验证环节"。

1. 调试配置

• 工具选择：32位样本用OllyDbg，64位样本用x64dbg；

• 调试设置：关闭调试器的"反调试检测"（如x64dbg中启用"Hide Debugger"插件），避免被病毒检测到；

• 加载样本：将脱壳后的样本拖入调试器，等待加载完成，定位OEP（若脱壳不彻底，需重新脱壳）。

2. 关键断点设置（按函数类型）

• 加密函数断点：在CryptEncrypt、CryptGenKey函数处下断点，跟踪密钥生成和文件加密过程，获取会话密钥明文；

• 持久化函数断点：在RegSetValueEx、schtasks命令调用处下断点，验证启动项写入、计划任务创建逻辑；

• 网络函数断点：在connect、send函数处下断点，捕获C2服务器IP/域名、传输的数据；

• 勒索信生成断点：在CreateFileA（创建勒索信）处下断点，验证勒索信内容和保存路径；

• 反调试函数断点：在CheckRemoteDebuggerPresent、RegOpenKeyEx（检测虚拟机）处下断点，跳过反调试逻辑，确保调试正常进行。

3. 调试验证与数据捕获

• 单步跟踪：从OEP开始，单步执行（F8），观察代码执行流程，验证静态逆向的函数逻辑是否正确；

• 内存查看：在密钥生成函数执行后，查看对应内存地址，捕获AES会话密钥、RSA公钥等关键数据；

• 行为验证：通过调试，确认病毒的持久化、文件加密、勒索提示等行为的触发条件和执行流程；

• 异常处理：若调试过程中病毒终止运行，检查是否触发反调试逻辑，调整调试设置（如隐藏调试器）后重新调试。

4. 调试总结

通过调试，确认静态逆向的核心逻辑（加密机制、持久化方式、网络行为）正确，捕获运行时关键数据（密钥、C2地址），补充完善IOC，为后续清除和防御提供精准依据。

六、Step 5：IOC整理与清除方案（实战处置）

逆向分析的最终目的是处置感染、防范后续攻击，核心是整理完整IOC、制定可落地的清除步骤，同时提供防御建议。

1. 完整IOC汇总（整合所有分析结果）

1.1 文件IOC

• 病毒本体： 1. C:\Windows\System32\[病毒名].exe 2. %APPDATA%\[病毒名].exe 3. %temp%\[病毒名].tmp

• 加密文件特征：文件后缀为[加密后缀，如.Conti、.locked]，文件头部含特定标识（如"Conti"字符串），熵值高于7.5；

• 勒索信：C:\README.txt、D:\_DECRYPT.txt（可根据实际分析结果补充）；

• 其他文件：病毒生成的临时文件、窃取数据的备份文件（如%temp%\data_backup.zip）。

1.2 注册表IOC

• 启动项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\[病毒名]，键值为病毒本体路径；

• 篡改项：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr（禁用任务管理器）、DisableRegistryTools（禁用注册表编辑器）；

• 其他：病毒创建的互斥体注册表项、文件关联篡改项。

1.3 进程/命令IOC

• 进程名：[病毒名].exe、cmd.exe（病毒调用）、vssadmin.exe（删除卷影副本）；

• 关键命令：vssadmin delete shadows /all、schtasks /create /tn [任务名] /tr [病毒路径] /sc onstart。

1.4 网络IOC

• C2服务器：IP地址（如185.149.120.12）、域名（如conti[.]xxx[.]com）；

• 通信特征：端口（如80、443、8080）、User-Agent（如"Conti Virus"）、传输协议（HTTP/TCP）；

• 数据渗出地址：黑客用于存储窃取数据的服务器IP/域名。

2. 手动清除步骤（适用于单个感染主机）

1. 终止病毒进程

   1. 进入安全模式：重启电脑，按F8进入安全模式（带网络或不带网络均可），避免病毒开机自启；

   2. 终止进程：打开任务管理器，找到病毒进程（[病毒名].exe）、相关子进程（如cmd.exe、vssadmin.exe），右键结束进程；若任务管理器被禁用，通过注册表启用（删除HKLM\...\System\DisableTaskMgr键值）。

2. 删除病毒本体及相关文件

   1. 删除病毒本体：导航至IOC中记录的病毒路径（如C:\Windows\System32\、%APPDATA%），删除病毒文件；

   2. 删除临时文件：删除%temp%目录下的病毒相关临时文件、备份文件；

   3. 删除勒索信：删除所有目录下的勒索信文件（如README.txt）。

3. 清理注册表

   1. 打开注册表编辑器（regedit.exe），删除启动项（HKLM\...\Run\[病毒名]）；

   2. 删除病毒篡改的注册表项（如禁用任务管理器、注册表编辑器的键值）；

   3. 清理互斥体注册表项，避免病毒残留。

4. 修复系统与文件

   1. 修复文件关联：还原被篡改的文件关联（如.txt、.docx等常用文件），恢复默认打开方式；

   2. 恢复系统设置：启用系统还原，恢复至感染前的系统状态（若未被病毒删除卷影副本）；

   3. 恢复文件：通过备份文件、卷影副本（若未被删除）恢复加密文件；若无法恢复，可尝试使用对应家族的解密工具（如微软、安全厂商发布的免费解密工具）。

5. 系统检测：使用杀毒软件全盘扫描，确认病毒无残留；更新系统补丁，修复可能被利用的漏洞。

3. 批量清除与企业级防御建议

• 批量清除：通过EDR工具（如火绒EDR、奇安信EDR），导入IOC和YARA规则，批量检测并清除内网感染主机；

• 网络防御：在防火墙中阻断C2服务器IP/域名、相关端口，启用DNS过滤，阻止病毒外联；

• 系统防御：禁用不必要的系统功能（如WSH、RDP），启用UAC，定期更新系统和软件补丁，关闭系统漏洞；

• 数据防护：定期备份重要数据（离线备份+云端备份），启用卷影副本，避免数据丢失；

• 人员防护：加强员工安全意识培训，禁止打开不明附件、点击可疑链接，避免通过U盘等移动设备传播病毒；

• 威胁情报：关注勒索病毒家族最新动态，及时更新病毒库和IOC，提前部署防御措施。

七、Step 6：分析总结与报告撰写

1. 分析总结

• 病毒核心信息：明确病毒家族、样本哈希、传播途径（如邮件附件、U盘、漏洞传播）；

• 核心行为：总结病毒的持久化、加密、勒索、网络传播等核心行为；

• 加密机制：明确加密算法（如AES-256+RSA-2048）、密钥生成与存储方式，是否存在解密突破口；

• 风险等级：评估病毒的破坏性（如是否双重勒索、是否横向传播），划分风险等级（低/中/高）；

• 防御要点：总结核心防御措施和清除要点，避免再次感染。

2. 报告撰写（规范格式）

整理分析过程、结果和IOC，撰写逆向分析报告，包含以下模块：报告基本信息（分析人员、日期、样本信息）、分析环境、静态分析、动态分析、代码逆向、IOC汇总、清除方案、防御建议、附录（样本代码、调试截图），便于后续查阅和分享。

八、逆向分析注意事项（必看）

• 全程隔离：所有操作必须在隔离虚拟机中完成，严禁样本联网，避免病毒传播至物理机或生产环境；

• 快照备份：每次运行样本前，务必还原虚拟机快照，避免环境污染，确保分析结果准确；

• 脱壳优先：若样本加壳，必须先脱壳，否则无法进行有效静态分析；

• 反调试处理：多数勒索病毒存在反调试逻辑，调试时需隐藏调试器，避免被病毒检测到；

• 数据安全：分析过程中，避免泄露自身系统信息和敏感数据，样本和分析结果需妥善保管；

• 工具更新：定期更新逆向工具和病毒库，确保能识别最新勒索病毒变体和加壳方式。

综上，勒索病毒逆向分析的核心是"从静态到动态，从行为到逻辑"，通过逐步拆解，还原病毒攻击链路、解析加密机制、提取IOC，最终实现感染处置和防御部署。不同家族勒索病毒的细节可能存在差异，但整体分析流程通用，可根据实际样本灵活调整。