如果有一天当你想打开文档或者启动程序却无法打开，磁盘文件被修改和加密，电脑桌面的壁纸被替换，画面出现勒索信息的提示，要求你支付赎金才能解密，那么，恭喜你，这么明显的特征，你中了勒索病毒！

应急响应步骤

什么市应急响应？

通常指一个组织未来应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。渗透测试是一种专业的安全服务，是针对目标烯烃入侵事件的实际演练。

安全事件：

ü 非授权访问：一个人在未经允许的情况下通过逻辑的或物理的方式访问网络、系统、应用、数据或其他资源，表现为一种入侵行为。

ü 网络攻击事件-拒绝服务攻击：通过消耗CPU、内存、宽带或磁盘空间等资源的方式来阻止和破坏已经经过授权的用户对网络、系统等的正常使用。

ü 恶意程序事件恶意代码：特洛伊木马，僵尸网络，挂马攻击，勒索病毒等。

应急响应方式：

² 远程应急：通过电话、email等方式进行应急

² 本地应急：第一时间赶到客户现场，查找原因并解决相应问题，最后出具应急的报告

应急响应步骤

勒索病毒简介：

Ø 伴随数字货币星期的一种新型病毒木马：比特币、达世币等

Ø 2008以前：锁屏勒索

Ø 2017年5月wannacry（永恒之蓝勒索蠕虫），勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。

Ø Globelmposter、Gandcrab、Crysis等勒索病毒

Ø 最新威胁：不支付赎金就公开数据

勒索病毒传播方式

Ø 利用漏洞：ms17-010,office,weblogic等漏洞

Ø 钓鱼邮件

Ø 网页挂马

Ø 手工植入

Ø 暴力破解rdp

Ø 暴力破解系统弱口令

Ø 软件绑马等

Globelmposter行为分析：

² 复制病毒文件到指定目录：appdata

² 计算机用户id并生成勒索文件

² 写入用户密钥寄ID

² 持久性驻留：创建注册表文件。设置开机自启动

² 加密硬盘文件

² 删除卷影副本及远程登录日志

² 删除自身

复制病毒文件到指定目录：

解密方式：

获取黑客的私钥，私钥解密获取用户的私钥，用户的私钥解密密文

下列三种情况可以通过互联网上的解密工具完成

l 勒索病毒的涉及编码存在漏洞或并未正确实现加密算法

l 勒索病毒的制造者主动发布了密钥或主密钥

l 执法机构查获带有密钥的服务器，并进行了分享。

重点：解密之前必须备份重要数据

l 专业人员处理（第三方）

参看>>>>>应急响应之勒索病毒应对措施

来源：freebuf.com 2020-09-01 19:31:49 by: secguo