Window应急响应(三):勒索病毒
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来没法估量的损失。这种病毒利用各类加密算法对文件进行加密,被感染者通常没法解密,必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发以后,各类变种及新型勒索病毒层出不穷。php
0x01 应急场景
某天早上,网站管理员打开OA系统,首页访问异常,显示乱码:html
0x02 事件分析
登陆网站服务器进行排查,在站点目录下发现全部的脚本文件及附件都被加密为.sage结尾的文件,每一个文件夹下都有一个!HELP_SOS.hta文件,打包了部分样本:web
打开!HELP_SOS.hta文件,显示以下:算法
到这里,基本能够确认是服务器中了勒索病毒,上传样本到360勒索病毒网站(http://lesuobingdu.360.cn)进行分析:确认web服务器中了sage勒索病毒,目前暂时没法解密。数据库
绝大多数勒索病毒,是没法解密的,一旦被加密,即便支付也不必定可以得到解密密钥。在平时运维中应积极作好备份工做,数据库与源码分离(相似OA系统附件资源也很重要,也要备份)。 安全
遇到了,别急,试一试勒索病毒解密工具:服务器
“拒绝勒索软件”网站
https://www.nomoreransom.org/zh/index.html
360安全卫士勒索病毒专题
http://lesuobingdu.360.cn
ID Ransomware
https://id-ransomware.malwarehunterteam.com/index.php
0x04 防范措施
一旦中了勒索病毒,文件会被锁死,没有办法正常访问了,这时候,会给你带来极大的困恼。为了防范这样的事情出现,咱们电脑上要先作好一些措施:微信
一、安装杀毒软件,保持监控开启,按期全盘扫描
二、及时更新 Windows安全补丁,开启防火墙临时关闭端口,如44五、13五、13七、13八、13九、3389等端口
三、及时更新web漏洞补丁,升级web组件
四、备份。重要的资料必定要备份,谨防资料丢失
五、强化网络安全意识,陌生连接不点击,陌生文件不要下载,陌生邮件不要打开
推荐阅读: 网络
最后
欢迎关注我的微信公众号:Bypass--,每周原创一篇技术干货。