勒索病毒的特征和解决方法

勒索病毒

勒索病毒一般情况下，到达客户现场先与其进行沟通，本人的亲身经历来说，遇到过几次可能是销售的沟通问题，到现场处理完溯源之后，客户还在问，我们没有备份，那数据能恢复吗，作为一个乙方服务人员，我只能告诉他，如果你不准备给钱，那么这个数据基本没法恢复，因此那次应急结束的并不是很愉快，所以后面的应急过程中，我都会先和客户沟通好，明确了需求在进行应急。

勒索病毒特征一般很明显，都会在加密后附上一个贴心的readme.txt

并且还能在readme中找到他们这波勒索给自己起的名字。虽然文件大概率无法恢复，但是总要相关的依据，可以在https://lesuobingdu.qianxin.com进行查询，根据文件信息，我们找到netwalker，确认无法进行恢复。

勒索病毒的处理还是以溯源为主，目的为防止主机再次受到感染以及避免感染更多的主机，因此到现场第一时间应对目标主机进行断网操作（拔网线）。

其实从概率论来说，目标客户不可能是唯一一家中招的，因此网上一定会有一些相关的分析资料，一般通过搜索引擎搜索类似如下关键字

很容易就能找到对应的分析，根据分析我们在进行对应的处置。

考虑到网上无法找到相关分析文章的情况下，通常可以先通过360杀毒和火绒这些安全软件来定位到木马

然后将其丢入自动化沙箱进行分析，这边推荐微步云沙箱

因为本人对逆向二进制实在不熟悉，只能依赖这类沙箱进行分析，如果有逆向动手能力较强的大佬可以忽略这步。

根据沙箱运行结果，我们可以做出相应防范措施，至此为简单的分析流程，处理完一台机器后一般还会需要我们进行溯源，这一步直接查看系统日志的登录记录，排查可疑记录，需要说明一下，勒索病毒一般都是通过系统弱口令或远程代码执行漏洞来进行入侵，因此需要一个执行shell命令的权限，而且获取权限执行命令的过程必定会有相对的登录记录，因此需要查看日志的4625和4624记录，人工一条条看太过费时，推荐uknow大佬写的工具，一键查看登录记录，很方便。

找到可疑目标IP然后再重复以上的处理步骤，找到源头的目标主机，根据经验来说，遇到过的80%以上都是因为源头那台主机存在弱口令，例如Pass1234 和Admin@123这类看似安全的密码。

因此对于勒索病毒的防御，应当以修改复杂密码并及时更新补丁为主，有条件的可以使用vpn或acl。