勒索病毒
通常情况下,勒索软件会在客户到达站点时与客户进行沟通。从我个人的经历来说,我遇到过几个可能和销售有关的沟通问题。在到达现场并追踪来源后,客户仍然会问,如果我们不这样做,数据还能恢复吗没有备份吗?作为乙方的服务人员,我只能告诉他,如果你不准备给钱,资料可以基本上没有恢复,所以紧急情况不是很愉快,所以我会在下面的紧急情况处理过程中这样做。
勒索病毒的特征一般很明显,加密后附上一个有思想的readme.txt。
而你也可以在自述里找到他们被这一波勒索给自己起的名字。虽然文件可以不太可能恢复,总是需要相关依据,在https://lesuobingdu.qianxin.com可以查询。根据文件信息,我们找到了netwalker,并确认它可以不可挽回。
勒索病毒的处理主要是从源头入手,为了防止主机再次被感染,也为了避免感染更多的主机。所以在现场第一时间要断开(拔掉)目标主机。
事实上,就概率论而言,目标客户可以不是唯一成功的候选人,所以网上肯定有一些相关的分析数据。一般来说,通过搜索引擎搜索像下面这样的关键词
它很容易找到相应的分析。根据分析,我们正在进行相应的处理。
考虑到相关分析文章可以如果在网上找不到,通常可以通过360杀毒、tinder等安全软件定位木马。
然后扔进自动化沙盒进行分析,这里推荐微步云沙盒。
因为不熟悉逆向二进制,所以只能靠这种沙盒进行分析。如果有反向动手能力强的大佬,我可以忽略这一步。
根据沙盒操作的结果,我们可以采取相应的预防措施。到目前为止,这是一个简单的分析过程。加工一台机器后,我们通常需要追溯源头。这一步我们可以直接查看系统日志的登录记录,查看可疑记录。需要注意的是,勒索病毒一般是通过系统弱密码或者远程代码执行漏洞入侵,所以我们需要一个执行shell命令的权限。而且在获取执行命令权限的过程中一定有相对的登录记录,所以需要检查日志的4625和4624记录。手工一个一个检查太费时间了。推荐uknow写的工具,一键查看登录记录,非常方便。
找到可疑的目标IP,然后重复上述处理步骤,找到源目标主机。根据经验,80%以上的遭遇都是因为源主机存在弱密码,比如Pass1234、Admin@123等看似安全的密码。
所以对于勒索病毒的防御,需要修改复杂的密码,及时更新补丁,有条件的可以使用vpn或者acl。
