勒索病毒

勒索病毒一般情況下，到達(dá)客戶(hù)現(xiàn)場(chǎng)先與其進(jìn)行溝通，本人的親身經(jīng)歷來(lái)說(shuō)，遇到過(guò)幾次可能是銷(xiāo)售的溝通問(wèn)題，到現(xiàn)場(chǎng)處理完溯源之后，客戶(hù)還在問(wèn)，我們沒(méi)有備份，那數(shù)據(jù)能恢復(fù)嗎，作為一個(gè)乙方服務(wù)人員，我只能告訴他，如果你不準(zhǔn)備給錢(qián)，那么這個(gè)數(shù)據(jù)基本沒(méi)法恢復(fù)，因此那次應(yīng)急結(jié)束的并不是很愉快，所以后面的應(yīng)急過(guò)程中，我都會(huì)先和客戶(hù)溝通好，明確了需求在進(jìn)行應(yīng)急。

勒索病毒特征一般很明顯，都會(huì)在加密后附上一個(gè)貼心的readme.txt

并且還能在readme中找到他們這波勒索給自己起的名字。雖然文件大概率無(wú)法恢復(fù)，但是總要相關(guān)的依據(jù)，可以在https://lesuobingdu.qianxin.com進(jìn)行查詢(xún)，根據(jù)文件信息，我們找到netwalker，確認(rèn)無(wú)法進(jìn)行恢復(fù)。

勒索病毒的處理還是以溯源為主，目的為防止主機(jī)再次受到感染以及避免感染更多的主機(jī)，因此到現(xiàn)場(chǎng)第一時(shí)間應(yīng)對(duì)目標(biāo)主機(jī)進(jìn)行斷網(wǎng)操作（拔網(wǎng)線）。

其實(shí)從概率論來(lái)說(shuō)，目標(biāo)客戶(hù)不可能是唯一一家中招的，因此網(wǎng)上一定會(huì)有一些相關(guān)的分析資料，一般通過(guò)搜索引擎搜索類(lèi)似如下關(guān)鍵字

很容易就能找到對(duì)應(yīng)的分析，根據(jù)分析我們?cè)谶M(jìn)行對(duì)應(yīng)的處置。

考慮到網(wǎng)上無(wú)法找到相關(guān)分析文章的情況下，通?？梢韵韧ㄟ^(guò)360殺毒和火絨這些安全軟件來(lái)定位到木馬

然后將其丟入自動(dòng)化沙箱進(jìn)行分析，這邊推薦微步云沙箱

因?yàn)楸救藢?duì)逆向二進(jìn)制實(shí)在不熟悉，只能依賴(lài)這類(lèi)沙箱進(jìn)行分析，如果有逆向動(dòng)手能力較強(qiáng)的大佬可以忽略這步。

根據(jù)沙箱運(yùn)行結(jié)果，我們可以做出相應(yīng)防范措施，至此為簡(jiǎn)單的分析流程，處理完一臺(tái)機(jī)器后一般還會(huì)需要我們進(jìn)行溯源，這一步直接查看系統(tǒng)日志的登錄記錄，排查可疑記錄，需要說(shuō)明一下，勒索病毒一般都是通過(guò)系統(tǒng)弱口令或遠(yuǎn)程代碼執(zhí)行漏洞來(lái)進(jìn)行入侵，因此需要一個(gè)執(zhí)行shell命令的權(quán)限，而且獲取權(quán)限執(zhí)行命令的過(guò)程必定會(huì)有相對(duì)的登錄記錄，因此需要查看日志的4625和4624記錄，人工一條條看太過(guò)費(fèi)時(shí)，推薦uknow大佬寫(xiě)的工具，一鍵查看登錄記錄，很方便。

找到可疑目標(biāo)IP然后再重復(fù)以上的處理步驟，找到源頭的目標(biāo)主機(jī)，根據(jù)經(jīng)驗(yàn)來(lái)說(shuō)，遇到過(guò)的80%以上都是因?yàn)樵搭^那臺(tái)主機(jī)存在弱口令，例如Pass1234 和Admin@123這類(lèi)看似安全的密碼。

因此對(duì)于勒索病毒的防御，應(yīng)當(dāng)以修改復(fù)雜密碼并及時(shí)更新補(bǔ)丁為主，有條件的可以使用vpn或acl。