应急响应之勒索病毒总结

应急响应

Posted by 看不尽的尘埃 on September 29, 2019

前言

9月27日,我看到Freebuf上有一篇文章说EvaRichter勒索病毒来袭。说来也巧我也将要做国庆1-4号的应急响应,本文为国庆的应急响应做准备,现在国际局势那么差,万一被搞了就完了,所以先做一点功课!因此我找了相关的文章进行阅读,本文是对网上有关勒索病毒的应急响应文章的总结! 图片

0x00 勒索病毒定义

勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能解密文件。

0x01 勒索病毒的表现形式

通常情况下,感染勒索病毒后会有如下三种表现形式:

  • 电脑壁纸被篡改,告知受害者需要缴纳赎金解密;
  • 有明显的勒索信息窗口展示或者说明文档;
  • 文件后缀被修改且打开异常;

0x02 判断勒索病毒的种类

由于勒索病毒比较高调,所以判断勒索病毒还是比较容易的,可以从以下几点判断:

  • 文件加密后缀
  • 勒索提示文档名
  • 其他关键词(电子邮件/网址)

    0x03 应急处理流程

    下面就来说一下遇到勒索病毒该如何做应急呢?主要以下分五步: 1.断网处理,防止勒索病毒内网传播感染,造成更大的损失; 2.查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本; 3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密; 4.进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞; 5.做好相应的安全防护工作,以防再次感染。

0x04 勒索病毒查询/解密网站汇总

综合类查询解密