;1;通过 EDR 官网查询勒索病毒家族;官网地址如下;深信服EDR
;2;在搜索框中输入加密后缀进行查询;注;部分使用随机后缀的家族无法通过此方法搜索;;如 POSEIDON666;
;3;或者通过黑客邮箱进行查询;如 true_offensive;aol.com;
;4;也可以通过家族名称搜索相关信息;如果有解密工具;可以进行下载;
除了深信服 EDR 官网查询勒索病毒;也可以尝试第三方机构查询勒索病毒家族。目前来说;国外这两个网站也有相关服务。
Home | The No More Ransom Project
ID Ransomware
通过搜索引擎搜索相关勒索特征;结果通常有较高的参考性;搜索引擎尽量使用Google。
搜索加密后缀;
搜索勒索信息;
需要注意的是同一种勒索病毒可能有不同的家族命名;比如上面搜索结果的最后一条;点进后可以看到其实REvil和Sodinokibi是同一种勒索病毒的不同叫法。
勒索病毒的后缀会不断变化;甚至有很多家族使用了随机后缀;但通常会生成一个html/txt/hta文件;用于引导受害者支付赎金;不同家族的勒索信息txt内容结构有所不同个;而相同家族则几乎一样;因此需要记住一些常见勒索病毒家族的特征。
如下为一些常见勒索病毒的勒索信息;
GlobeImposter勒索病毒
CrySiS勒索病毒
Phobos勒索病毒;Crysis家族变种;
Sodinokibi勒索病毒;随机后缀;
Ryuk勒索病毒