勒索病毒

勒索病毒一般情況下，到達客戶現場先與其進行溝通，本人的親身經歷來說，遇到過幾次可能是銷售的溝通問題，到現場處理完溯源之后，客戶還在問，我們沒有備份，那數據能恢復嗎，作為一個乙方服務人員，我只能告訴他，如果你不準備給錢，那么這個數據基本沒法恢復，因此那次應急結束的并不是很愉快，所以后面的應急過程中，我都會先和客戶溝通好，明確了需求在進行應急。

勒索病毒特征一般很明顯，都會在加密后附上一個貼心的readme.txt

并且還能在readme中找到他們這波勒索給自己起的名字。雖然文件大概率無法恢復，但是總要相關的依據，可以在https://lesuobingdu.qianxin.com進行查詢，根據文件信息，我們找到netwalker，確認無法進行恢復。

勒索病毒的處理還是以溯源為主，目的為防止主機再次受到感染以及避免感染更多的主機，因此到現場第一時間應對目標主機進行斷網操作（拔網線）。

其實從概率論來說，目標客戶不可能是唯一一家中招的，因此網上一定會有一些相關的分析資料，一般通過搜索引擎搜索類似如下關鍵字

很容易就能找到對應的分析，根據分析我們在進行對應的處置。

考慮到網上無法找到相關分析文章的情況下，通常可以先通過360殺毒和火絨這些安全軟件來定位到木馬

然后將其丟入自動化沙箱進行分析，這邊推薦微步云沙箱

因為本人對逆向二進制實在不熟悉，只能依賴這類沙箱進行分析，如果有逆向動手能力較強的大佬可以忽略這步。

根據沙箱運行結果，我們可以做出相應防范措施，至此為簡單的分析流程，處理完一臺機器后一般還會需要我們進行溯源，這一步直接查看系統(tǒng)日志的登錄記錄，排查可疑記錄，需要說明一下，勒索病毒一般都是通過系統(tǒng)弱口令或遠程代碼執(zhí)行漏洞來進行入侵，因此需要一個執(zhí)行shell命令的權限，而且獲取權限執(zhí)行命令的過程必定會有相對的登錄記錄，因此需要查看日志的4625和4624記錄，人工一條條看太過費時，推薦uknow大佬寫的工具，一鍵查看登錄記錄，很方便。

找到可疑目標IP然后再重復以上的處理步驟，找到源頭的目標主機，根據經驗來說，遇到過的80%以上都是因為源頭那臺主機存在弱口令，例如Pass1234 和Admin@123這類看似安全的密碼。

因此對于勒索病毒的防御，應當以修改復雜密碼并及時更新補丁為主，有條件的可以使用vpn或acl。