Window應急響應(三):勒索病毒
阿新 • • 發佈:2019-01-01
0x00 前言
勒索病毒,是一種新型電腦病毒,主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給使用者帶來無法估量的損失。這種病毒利用各種加密演算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。自WannaCry勒索病毒在全球爆發之後,各種變種及新型勒索病毒層出不窮。
0x01 應急場景
某天早上,網站管理員開啟OA系統,首頁訪問異常,顯示亂碼:
0x02 事件分析
登入網站伺服器進行排查,在站點目錄下發現所有的指令碼檔案及附件都被加密為.sage結尾的檔案,每個資料夾下都有一個!HELP_SOS.hta檔案,打包了部分樣本:
開啟!HELP_SOS.hta檔案,顯示如下:
到這裡,基本可以確認是伺服器中了勒索病毒,上傳樣本到360勒索病毒網站(http://lesuobingdu.360.cn)進行分析:確認web伺服器中了sage勒索病毒,目前暫時無法解密。
絕大多數勒索病毒,是無法解密的,一旦被加密,即使支付也不一定能夠獲得解密金鑰。在平時運維中應積極做好備份工作,資料庫與原始碼分離(類似OA系統附件資源也很重要,也要備份)。
遇到了,別急,試一試勒索病毒解密工具:
“拒絕勒索軟體”網站 https://www.nomoreransom.org/zh/index.html 360安全衛士勒索病毒專題 http://lesuobingdu.360.cn
https://www.nomoreransom.org/zh/index.html 360安全衛士勒索病毒專題 http://lesuobingdu.360.cn
0x04 防範措施
一旦中了勒索病毒,檔案會被鎖死,沒有辦法正常訪問了,這時候,會給你帶來極大的困惱。為了防範這樣的事情出現,我們電腦上要先做好一些措施:
1、安裝防毒軟體,保持監控開啟,定期全盤掃描 2、及時更新 Windows安全補丁,開啟防火牆臨時關閉埠,如445、135、137、138、139、3389等埠 3、及時更新web漏洞補丁,升級web元件 4、備份。重要的資料一定要備份,謹防資料丟失 5、強化網路安全意識,陌生連結不點選,陌生檔案不要下載,陌生郵件不要開啟
最後
歡迎關注個人微信公眾號:Bypass--,每週原創一篇技術乾貨。