
本篇文章共 6000字+2视频,完全阅读全篇约80分钟 州弟学安全,只学有用的知识
在生活与工作中,勒索病毒(Ransomware)始终是企业最大的噩梦。很多新人或者企业运维在面对勒索攻击时,往往因为缺乏经验而陷入恐慌,导致黄金处置时间流失。甚至因为错误操作导致数据永久无法恢复。
为了解决无环境可练的痛点,我们基于真实的Phobos勒索病毒(2700变种)加密器,搭建了一套高仿真的实战训练环境。与以往单纯的Web漏洞利用不同,本次环境侧重于"人"的因素:即通过钓鱼邮件发起的攻击。
本文将以第一视角,带大家完整复盘这次靶场演练。我们不仅要找到Flag,更要通过每一个步骤,讲清楚在真实应急响应现场,我们为什么要这么做。
如下视频所示为本次环境中 Phobos勒索家族2700病毒加密与数据恢复视角。结合Solar威胁情报中心对于此家族TTPs(战术、技术与过程)的分析,此家族擅长利用 RDP漏洞、RDP爆破等方式进行突防。本次模拟的是黑客已经利用漏洞进场并完成加密后的视角。感谢:超级油麦(视频剪辑)

常规排查方法三步走:
排查(确定勒索家族:包含勒索信,加密样本加密后缀、加密器等),确定勒索家族后可定位此家族的一些特征以及后期数据恢复
恢复(寻找相关勒索家族加密器的解密器,尝试破解恢复,有些家族使用的是旧版本的加密器,这些加密器可能存在一些漏洞或使用了对称加密手法,可以寻找是否存在解密器进行数据恢复或手动进行逆向),如没有找到加密器或很难搜到相关加密器的一些信息,则此加密器是最新变种加密器,需专业技术人员进行分析
溯源(单纯备份和数据恢复是不够的,溯源黑客攻击路径更重要,实战中可能会遇到上午数据恢复成功,下午或晚上又被利用漏洞进行二次勒索的情况)所以在此环境中,我们会学习:勒索家族确定->数据恢复->溯源攻击路径
更详细的勒索病毒介绍与之前发布过的环境,可移步至:网页链接
当然我也会持续更新应急响应与渗透测试相关的环境来提高大家的网络安全能力

环境仅供学习参考,思路来源于实战
文中涉及的漏洞及攻击手法仅供学习参考,请勿恶意攻击,造成的后果自行承担
如认为本文中内容及视频对您有所帮助,烦请一键三连、点赞分享

玄机在线靶场:由于勒索病毒加密导致底层驱动损坏,上传玄机部署失败,本次环境暂不同步至玄机
玄机邀请码获取:关注州弟学安全公众号、发送 邀请码
青少年CTF:https://www.qsnctf.com/(公益免费) 注册后->靶场
https://sierting.feishu.cn/share/base/form/shrcnOssVyW1OHk9ndeVCU7RTag(靶场功能申请需填写邀请码表达开通,一般会在7天内开通)
离线环境:https://pan.quark.cn/s/487fc06fbcd1 (需确保本地硬盘空间大于30G)、历史离线环境合集关注(州弟学安全)回复:合集 获取
在线环境优点:方便不占空间,随时可开,无需配置
在线环境缺点:
1. 配置没有本地高凸显开机后卡顿,过一会就会恢复
2. 其次网络延迟波动会造成卡顿现象
3. 公益平台需适应平台功能(如webvnc情况下传输)
离线环境优点:
1. 只要宿主机配置没问题,就不会造成卡顿
2. 方便教学及培训使用
3. 对于没有预算的用户友好
离线环境缺点:
1. 对于机器硬盘空间配置有要求
2. 下载及安装过程浪费时间
版权作者:思而听(山东)网络科技有限公司、solar应急响应团队、州弟学安全
特别注意:环境中的勒索家族全版本加密器已被 solar应急响应团队 破解
系统:Windows 7
账号密码:solar/Solar521
防勒索官网:http://应急响应.com(查询勒索家族及解密器搜索)
必须注意:禁止在本地运行勒索病毒加密器,造成的后果自行承担
题目:
1. 此勒索家族名称是什么?可访问应急响应.com进行查询,大小写敏感,最终以flag{}提交
2. 勒索病毒预留的ID是什么(预留ID为勒索组织恢复的凭证),以flag{}提交,如有多个以&进行连接
3. 提交开始加密的时间,以flag{2025/1/1 11:11}格式提交
4. 访问:应急响应.com 找到此家族恢复工具进行恢复,提交C:\Users\Solar\Desktop\Simulation_Desktop_Files\flag.txt文件中的flag
5. 提交C:\Users\Solar\Desktop\工具\mail 发送邮件的邮箱,以flag{xxx@xxx.com}格式提交
6. 提交C:\Users\Solar\Desktop\工具\mail 发送邮件的IP,以flag{x.x.x.x}格式提交
7. 提交钓鱼附件中的C2地址,以flag{x.x.x.x}格式提交
8. 部分数据丢失,好在运维之前做了备份,使用C:\Users\Solar\Desktop\工具\diskgenus恢复C:\Users\Solar\Desktop\工具\backup中的备份内:C:\Users\Solar\Desktop\flag.bak文件,提交其flag 第一题:此勒索家族名称是什么?可访问应急响应.com进行查询,大小写敏感,最终以flag{}提交
当我们接到应急响应需求登入机器后,发现系统运行卡顿,且大量文件无法正常打开,扩展名被修改为 。
实战心法:此时切忌重启服务器或盲目使用杀毒软件。重启可能会破坏内存中可能残留的密钥信息以及中断加密导致文件损坏(比如文件只加密一半),杀毒软件可能会隔离掉黑客留下的攻击脚本(这些都是后续溯源的关键证据)。我们首先要做的是止损与定性。
我们需要确认这是什么病毒?有没有解密工具?
我们需要收集被加密文件的特征信息:
扩展名:所有文件后缀变为.2700。
勒索信:桌面及文件夹下出现了info.txt和info.hta。
联系方式:勒索信中攻击者留下的回联邮箱是sqlback@memeware.net。
如下图所示,可以看到被加密文件的后缀变化,以及黑客为了引起受害者注意而留下的格式勒索信。
打开勒索信,如下图(info.txt)红框所示,攻击者留下了恢复数据的联系邮箱。在实战中,这个邮箱是确认黑客组织身份的重要线索。

受害主机桌面现状,可见文件后缀被篡改及勒索信文件
在真实场景中,千万不要直接发邮件联系黑客,这极易遭遇二次诈骗或暴露企业身份。最稳妥的做法是前往权威的勒索病毒搜索引擎进行比对。
根据题目指引,我们访问应急响应.com,输入后缀或邮箱进行查询。如下图所示,平台通过特征库比对,精准识别出了病毒家族。

利用专业平台进行特征比对,确认为 Phobos 家族
研判结论:通过特征比对,确认该病毒属于Phobos家族。由于题目Flag大小写敏感,我们提交:
Flag 1:flag{Phobos}
第二题:勒索病毒预留的ID是什么(预留ID为勒索组织恢复的凭证),以flag{}提交,如有多个以&进行连接
任务目标:找到勒索病毒预留的ID。
深度解析:ID 是受害者的“身份证号”。勒索软件通常会根据机器的硬件信息(如MAC地址、硬盘序列号)或其它一些自定义规则生成唯一的 ID。在解密过程中,这个 ID 是必须提供的参数,解密工具需要依靠它来匹配正确的密钥。
ID 通常存在于三个地方:被加密的文件名中、勒索信正文中、或者勒索信的文件名中。 在本次环境中,文件数量庞大,肉眼查找效率极低。我们使用桌面\工具\everything 工具进行全局搜索。
如下图所示,我们搜索,仔细观察文件名结构。可以看到文件名中包含了一串格式为 的字符。

使用 Everything 筛选加密文件,观察文件名规律
同时,我们再次查阅勒索信。如下图所示,在显眼位置也能看到这个ID:。

勒索信正文中明确标注的受害者 ID
为了确保没有遗漏(防止存在多重加密的情况,即被不同勒索病毒/同一勒索病毒加密了两次),我们在 Everything 中搜索该 ID。如下图所示,所有加密文件均包含此 ID,证明是单一家族单次加密。

验证全盘文件是否为同一 ID 加密
研判结论: 全盘文件ID一致,确认为单一ID加密。
Flag 2:flag{4A30C4F9-3524}
第三题:提交开始加密的时间,以flag{2025/1/1 11:11}格式提交
任务目标:提交开始加密的时间。
深度解析:确定加密开始时间是溯源工作的关键节点。
在此时间点之后的操作,通常是病毒的横向移动或破坏行为(如删除卷影、清日志)。
在此时间点之前的操作,才是黑客入侵、植入病毒、提权的黄金分析窗口。
我们继续利用 Everything 工具。既然文件被加密了,那么文件的“修改时间”往往就是被加密的那一刻。
搜索.2700。
点击“修改时间(Date Modified)”进行升序排列(从早到晚)。
找到列表最上方的文件,即最早被加密的文件。
如下图红框所示,排序显示最早的加密行为发生在 2025/11/19 14:31。

通过文件修改时间,定位攻击爆发的起始时间
研判结论: 排序显示最早的加密行为发生在 2025/11/19 14:31。这意味着,我们需要重点排查 14:31 之前的系统日志和网络流量。
Flag 3:flag{2025/11/19 14:31}
第四题:访问:应急响应.com 找到此家族恢复工具进行恢复,提交C:\Users\Solar\Desktop\Simulation_Desktop_Files\flag.txt文件中的flag
任务目标:使用工具恢复被加密的flag.txt文件。
深度解析: Phobos家族通常被认为是无法解密的,除非黑客私钥泄露或加密器存在漏洞。本次训练环境的背景设定为:Solar应急响应团队已对该变种加密器完成逆向分析并开发了解密工具,逆向文章参考:网页链接
实战心法:在真实应急响应中,被感染机器通常会被断网隔离,以防病毒扩散。为了模拟这一场景,我们通过NAS(模拟内网安全传输通道)来传输工具。(如未使用青少年CTF平台则忽略NAS步骤,青少年CTF平台需要NAS进行传输文件)
平台nas传输相关文档可以参考:网页链接
先访问应急响应.com->恢复工具中搜索phobos,然后下载恢复工具,如下图所示

在应急响应.com下载恢复工具
我们使用命令行登录NAS,利用将解密工具包上传至NAS服务器,如下图所示。

通过 SFTP 将解密工具包上传至隔离网段的 NAS 服务器
接着,在受害机器的环境内,我们通过访问NAS地址下载刚才上传的工具。如下图所示,在资源管理器地址栏输入即可访问。

在受害主机通过内网共享路径访问 NAS

登录后复制物理主机传入的解密器
将工具包解压后,运行Phobos恢复工具。由于全盘扫描耗时较长,且题目目标明确,我们指定路径为桌面。如下图所示,工具运行后提示“恢复成功”。

运行专用解密工具进行数据恢复操作
解密完成后,打开 目录,查看 。如下图所示,原本乱码的文件已成功还原为明文。

确定加密的文件恢复完毕

验证解密结果,成功获取 Flag
Flag 4:flag{6eff1ea09e63423a48288a77d97e0cc6}
第五题:提交C:\Users\Solar\Desktop\工具\mail 发送邮件的邮箱,以flag{xxx@xxx.com}格式提交
文件恢复只是止损,作为安全人员,我们必须回答一个核心问题:黑客是怎么进来的?
深度解析:逆向推演的逻辑是,如果一台机器没有对外开放任何端口,黑客通过网络直接入侵的概率极低。因此,查看开放端口是构建攻击路径假设的第一步。
在CMD中输入。如下图所示,我们发现机器开放了几个关键端口:

检查系统开放端口,发现敏感服务端口
我们发现机器开放了:
3389 (RDP):远程桌面,常被用于爆破或弱口令登录。
25 (SMTP):邮件服务端口,暗示本机可能有邮件往来。
既然有3389端口,我们立刻查看Windows安全日志(Security Log),试图寻找14:31之前的登录记录(Event ID 4624/4625)。
在左下角中输入(加密器将底层程序和驱动破坏导致"WIN+R->运行"无法直接打开)

找到事件日志查看器
然而,如下图所示,当我们打开事件查看器时,发现日志出现了异常。

尝试查看关键时间点的系统安全日志
查看日志属性(如下图),我们发现日志在关键时间点前被截断或覆盖了。

日志文件属性显示已被覆盖,存在明显的反取证痕迹
研判结论: 日志缺失是极强的入侵信号。攻击者为了隐藏踪迹,利用工具清除了日志或通过大量无效日志循环覆盖。这迫使我们转换思路:放弃系统日志,从“人”的维度(邮件)入手。
结合开放的25端口和桌面上的邮件备份,我们将目光锁定在钓鱼邮件上。在目录下找到,将其导入 Foxmail 查看。

找到邮件文件位置

通过NAS传输到本地
A. 确认发件人
打开邮件,如下图所示,发件人伪装成税务相关人员,这是一个典型的社工钓鱼手段,利用财务人员对“发票”的敏感性诱导点击。

Foxmail邮件详情页
Flag 5(发件箱):flag{1983929223@qq.com}
第六题:提交C:\Users\Solar\Desktop\工具\mail 发送邮件的IP,以flag{x.x.x.x}格式提交
B. 提取源IP(技术要点解析)
什么是 X-Originating-IP?:它通常代表邮件发送客户端的真实IP地址。
注意:并非所有邮件都包含此字段。例如,如果黑客通过Gmail、Outlook等网页端(Webmail)发送邮件,服务商为了保护隐私通常会隐藏源IP,只显示邮件服务器IP。但在使用客户端软件(如Foxmail、Outlook客户端)或某些企业自建邮局时,该字段往往会被保留,成为我们溯源的关键突破口。
我们右键邮件 -> 查看邮件源码(或更多操作-查看信头)。如下图红框所示,我们成功捕获到了攻击者的真实IP。

在邮件客户端中选择查看邮件源码

邮件头中定位攻击者的真实 IP 地址
Flag 6(攻击者IP):flag{39.91.141.213}
第七题:提交钓鱼附件中的C2地址,以flag{x.x.x.x}格式提交
邮件附件名为,解压后通常是伪装成文档的EXE可执行文件。
实战心法:对于此类样本,绝对禁止在物理机直接运行。最快且最安全的方式是上传至云沙箱(如微步、奇安信沙箱等)进行自动化分析。我们需要提取它的 C2 (Command & Control) 地址,即木马回连的控制端IP。
如下图所示,云沙箱的分析报告明确指出了样本运行后的网络行为。

提取邮件附件中的恶意样本文件

云沙箱网络行为分析报告,捕获 C2 地址
报告显示,样本运行后会请求。
Flag 7(C2 IP):flag{182.9.80.123}
六、 绝地求生:备份恢复
第八题:部分数据丢失,好在运维之前做了备份,使用C:\Users\Solar\Desktop\工具\diskgenus恢复C:\Users\Solar\Desktop\工具\backup中的备份内:C:\Users\Solar\Desktop\flag.bak文件,提交其flag
任务目标:从备份文件中恢复丢失的。
深度解析:在真实案例中,如果无法解密,离线备份就是企业数据的最后一道防线。很多高阶勒索病毒不仅加密文件,还会尝试删除卷影副本(Shadow Copies)。但如果运维人员有良好的冷备份习惯(如定期备份到移动硬盘或磁带),业务就能快速重启。
本题模拟了通过磁盘镜像恢复数据的过程。我们使用 DiskGenius 工具。
打开 DiskGenius,菜单栏选择 “磁盘” -> “打开虚拟磁盘文件”。
加载工具\backup目录下的镜像文件,如下图所示。

加载备份的虚拟磁盘镜像文件

选择具体的镜像文件进行挂载

DiskGenius加载虚拟磁盘
在虚拟磁盘的文件系统中浏览,找到 Desktop 目录下的 flag.bak。
右键选择“复制到指定文件夹”进行提取。

从镜像中提取未被加密的原始文件
flag7:flag{92047522e5080bad36eda9d29d5a163e}
通过本次仿真演练,我们可以清晰地看到勒索病毒攻击的完整链条: 钓鱼邮件投递 -> 用户点击执行 -> C2上线 -> 潜伏/清除日志 -> 发起加密。
对于企业和个人开发者,以下几点防御基线必须守住:
备份是底线:本次演练的最后一步告诉我们,当所有防御失效时,一个干净的、离线的备份能救命。
日志留存:本地日志极易被攻击者清除。企业应建立日志服务器(Syslog),将日志实时回传至不可篡改的存储端,确保溯源有据可依。
警惕钓鱼:绝大多数勒索攻击始于弱口令(RDP)或钓鱼邮件。不要轻易点击不明来源的 .zip、.exe、.scr 附件,即使它看起来像一张“发票”。
主动研判:遭遇攻击后,善用 应急响应.com 等专业威胁情报平台,准确判断病毒家族,避免病急乱投医。
本文涉及的工具及环境仅供安全研究与教学使用,请勿用于非法用途。