勒索病毒简介

中勒索病毒的途径:
        勒索病毒母体通过互联网随机扫描对外开放的服务和端口进行探测扩散
                1.域名
                2.开机自启木马程序
                3.ms17-010漏洞
                4.445、弱口令、3389   netstat -ano查看开放了哪些端口,netstat -ano | findstr "3389"查看是否开放3389端口
                5.其他漏洞


中勒索病毒过程
        敲诈加密程序释放  提权程序的运行
                1.解压
                2.关闭进程
                3.遍历目录  
                4.避开系统文件
        RSA 2048:内置两个公钥,一个私钥
        用AES(对称加密)加密文件生成KEY,黑客用公钥加密KEY
        解密之后也会有文件无法使用


应急措施:
         梳理资产,断开网络,样本提取,尝试解密,封堵源头,加固防御
                1.隔离被感染的服务器主机
                        1.加密文件后缀、弹框勒索页面截图
                2.确定被感染的范围
                3.在主机上溯源分析
                        查看被勒索当天的安全日志,Win+R运行eventvwr
                        找到病毒样本,
                        关闭远程服务
                        关闭核心交换机和边界135 137 138  139 445 3389端口
                        修改口令
                        查杀病毒
                        systeminfo | findstr KB 查看补丁,打官方的MS17-010补丁
                3.安装高强度防火墙,防病毒软件
                4.数据备份,业务恢复   我们不提供解密服务


受害者一般情况
        1.安全状况看不清 对资产的暴力、脆弱性不清楚
        2.安全设备防不住 安全策略之间没关联,病毒更新换代,设备落后
        3.问题处置不及时 病毒爆发初期不知如何处置,小问题拖到大事件,安全设备初值问题单一

事后:
        1.原因分析
        2.提交报告
        3.事件跟踪

        按惯例配个图，图文结合

         

感谢分享

感谢分享

支持支持

了解一下

学习

感谢楼主分享