勒索病毒

勒索病毒一般情況下，到達(dá)客戶現(xiàn)場先與其進(jìn)行溝通，本人的親身經(jīng)歷來說，遇到過幾次可能是銷售的溝通問題，到現(xiàn)場處理完溯源之后，客戶還在問，我們沒有備份，那數(shù)據(jù)能恢復(fù)嗎，作為一個(gè)乙方服務(wù)人員，我只能告訴他，如果你不準(zhǔn)備給錢，那么這個(gè)數(shù)據(jù)基本沒法恢復(fù)，因此那次應(yīng)急結(jié)束的并不是很愉快，所以后面的應(yīng)急過程中，我都會先和客戶溝通好，明確了需求在進(jìn)行應(yīng)急。

勒索病毒特征一般很明顯，都會在加密后附上一個(gè)貼心的readme.txt

并且還能在readme中找到他們這波勒索給自己起的名字。雖然文件大概率無法恢復(fù)，但是總要相關(guān)的依據(jù)，可以在https://lesuobingdu.qianxin.com進(jìn)行查詢，根據(jù)文件信息，我們找到netwalker，確認(rèn)無法進(jìn)行恢復(fù)。

勒索病毒的處理還是以溯源為主，目的為防止主機(jī)再次受到感染以及避免感染更多的主機(jī)，因此到現(xiàn)場第一時(shí)間應(yīng)對目標(biāo)主機(jī)進(jìn)行斷網(wǎng)操作（拔網(wǎng)線）。

其實(shí)從概率論來說，目標(biāo)客戶不可能是唯一一家中招的，因此網(wǎng)上一定會有一些相關(guān)的分析資料，一般通過搜索引擎搜索類似如下關(guān)鍵字

很容易就能找到對應(yīng)的分析，根據(jù)分析我們在進(jìn)行對應(yīng)的處置。

考慮到網(wǎng)上無法找到相關(guān)分析文章的情況下，通常可以先通過360殺毒和火絨這些安全軟件來定位到木馬

然后將其丟入自動化沙箱進(jìn)行分析，這邊推薦微步云沙箱

因?yàn)楸救藢δ嫦蚨M(jìn)制實(shí)在不熟悉，只能依賴這類沙箱進(jìn)行分析，如果有逆向動手能力較強(qiáng)的大佬可以忽略這步。

根據(jù)沙箱運(yùn)行結(jié)果，我們可以做出相應(yīng)防范措施，至此為簡單的分析流程，處理完一臺機(jī)器后一般還會需要我們進(jìn)行溯源，這一步直接查看系統(tǒng)日志的登錄記錄，排查可疑記錄，需要說明一下，勒索病毒一般都是通過系統(tǒng)弱口令或遠(yuǎn)程代碼執(zhí)行漏洞來進(jìn)行入侵，因此需要一個(gè)執(zhí)行shell命令的權(quán)限，而且獲取權(quán)限執(zhí)行命令的過程必定會有相對的登錄記錄，因此需要查看日志的4625和4624記錄，人工一條條看太過費(fèi)時(shí)，推薦uknow大佬寫的工具，一鍵查看登錄記錄，很方便。

找到可疑目標(biāo)IP然后再重復(fù)以上的處理步驟，找到源頭的目標(biāo)主機(jī)，根據(jù)經(jīng)驗(yàn)來說，遇到過的80%以上都是因?yàn)樵搭^那臺主機(jī)存在弱口令，例如Pass1234 和Admin@123這類看似安全的密碼。

因此對于勒索病毒的防御，應(yīng)當(dāng)以修改復(fù)雜密碼并及時(shí)更新補(bǔ)丁為主，有條件的可以使用vpn或acl。