Window應急響應（三）：勒索病毒

0x00 前言

​ 勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來沒法估量的損失。這種病毒利用各類加密算法對文件進行加密，被感染者通常沒法解密，必須拿到解密的私鑰纔有可能破解。自WannaCry勒索病毒在全球爆發以後，各類變種及新型勒索病毒層出不窮。

0x01 應急場景

​ 某天早上，網站管理員打開OA系統，首頁訪問異常，顯示亂碼：

0x02 事件分析

​ 登陸網站服務器進行排查，在站點目錄下發現全部的腳本文件及附件都被加密爲.sage結尾的文件，每一個文件夾下都有一個!HELP_SOS.hta文件，打包了部分樣本：

打開!HELP_SOS.hta文件，顯示以下：

到這裏，基本能夠確認是服務器中了勒索病毒，上傳樣本到360勒索病毒網站（http://lesuobingdu.360.cn）進行分析：確認web服務器中了sage勒索病毒，目前暫時沒法解密。

絕大多數勒索病毒，是沒法解密的，一旦被加密，即便支付也不必定可以得到解密密鑰。在平時運維中應積極作好備份工做，數據庫與源碼分離（相似OA系統附件資源也很重要，也要備份）。

遇到了，別急，試一試勒索病毒解密工具：

「拒絕勒索軟件」網站
https://www.nomoreransom.org/zh/index.html
360安全衛士勒索病毒專題
http://lesuobingdu.360.cn
ID Ransomware
https://id-ransomware.malwarehunterteam.com/index.php

0x04 防範措施

​ 一旦中了勒索病毒，文件會被鎖死，沒有辦法正常訪問了，這時候，會給你帶來極大的困惱。爲了防範這樣的事情出現，咱們電腦上要先作好一些措施：

一、安裝殺毒軟件，保持監控開啓，按期全盤掃描
二、及時更新 Windows安全補丁，開啓防火牆臨時關閉端口，如44五、13五、13七、13八、13九、3389等端口
三、及時更新web漏洞補丁，升級web組件
四、備份。重要的資料必定要備份，謹防資料丟失
五、強化網絡安全意識，陌生連接不點擊，陌生文件不要下載，陌生郵件不要打開

推薦閱讀： 

Window應急響應（一）：FTP暴力破解

Window應急響應（二）：蠕蟲病毒

Window應急響應（三）：勒索病毒

Window應急響應（四）：挖礦病毒

Window應急響應（五）：ARP病毒

 

最後

歡迎關注我的微信公衆號：Bypass--，每週原創一篇技術乾貨。