勒索病毒的特征和解决方法

电子说

1.2w人已加入

描述

勒索病毒

勒索病毒一般情况下,到达客户现场先与其进行沟通,本人的亲身经历来说,遇到过几次可能是销售的沟通问题,到现场处理完溯源之后,客户还在问,我们没有备份,那数据能恢复吗,作为一个乙方服务人员,我只能告诉他,如果你不准备给钱,那么这个数据基本没法恢复,因此那次应急结束的并不是很愉快,所以后面的应急过程中,我都会先和客户沟通好,明确了需求在进行应急。

勒索病毒特征一般很明显,都会在加密后附上一个贴心的readme.txt

电脑

并且还能在readme中找到他们这波勒索给自己起的名字。虽然文件大概率无法恢复,但是总要相关的依据,可以在https://lesuobingdu.qianxin.com进行查询,根据文件信息,我们找到netwalker,确认无法进行恢复。

勒索病毒的处理还是以溯源为主,目的为防止主机再次受到感染以及避免感染更多的主机,因此到现场第一时间应对目标主机进行断网操作(拔网线)。

其实从概率论来说,目标客户不可能是唯一一家中招的,因此网上一定会有一些相关的分析资料,一般通过搜索引擎搜索类似如下关键字

电脑

很容易就能找到对应的分析,根据分析我们在进行对应的处置。

考虑到网上无法找到相关分析文章的情况下,通常可以先通过360杀毒和火绒这些安全软件来定位到木马

电脑

然后将其丢入自动化沙箱进行分析,这边推荐微步云沙箱

电脑

因为本人对逆向二进制实在不熟悉,只能依赖这类沙箱进行分析,如果有逆向动手能力较强的大佬可以忽略这步。

根据沙箱运行结果,我们可以做出相应防范措施,至此为简单的分析流程,处理完一台机器后一般还会需要我们进行溯源,这一步直接查看系统日志的登录记录,排查可疑记录,需要说明一下,勒索病毒一般都是通过系统弱口令或远程代码执行漏洞来进行入侵,因此需要一个执行shell命令的权限,而且获取权限执行命令的过程必定会有相对的登录记录,因此需要查看日志的4625和4624记录,人工一条条看太过费时,推荐uknow大佬写的工具,一键查看登录记录,很方便。

电脑

找到可疑目标IP然后再重复以上的处理步骤,找到源头的目标主机,根据经验来说,遇到过的80%以上都是因为源头那台主机存在弱口令,例如Pass1234 和Admin@123这类看似安全的密码。

因此对于勒索病毒的防御,应当以修改复杂密码并及时更新补丁为主,有条件的可以使用vpn或acl。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分