如果有一天當(dāng)你想打開文檔或者啟動程序卻無法打開，磁盤文件被修改和加密，電腦桌面的壁紙被替換，畫面出現(xiàn)勒索信息的提示，要求你支付贖金才能解密，那么，恭喜你，這么明顯的特征，你中了勒索病毒！?

應(yīng)急響應(yīng)步驟

?

什么市應(yīng)急響應(yīng)？

通常指一個組織未來應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。滲透測試是一種專業(yè)的安全服務(wù)，是針對目標(biāo)烯烴入侵事件的實際演練。

安全事件：

ü?非授權(quán)訪問：一個人在未經(jīng)允許的情況下通過邏輯的或物理的方式訪問網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)或其他資源，表現(xiàn)為一種入侵行為。

ü?網(wǎng)絡(luò)攻擊事件-拒絕服務(wù)攻擊：通過消耗CPU、內(nèi)存、寬帶或磁盤空間等資源的方式來阻止和破壞已經(jīng)經(jīng)過授權(quán)的用戶對網(wǎng)絡(luò)、系統(tǒng)等的正常使用。

ü?惡意程序事件惡意代碼：特洛伊木馬，僵尸網(wǎng)絡(luò)，掛馬攻擊，勒索病毒等。

?

應(yīng)急響應(yīng)方式：

2?遠(yuǎn)程應(yīng)急：通過電話、email等方式進(jìn)行應(yīng)急

2?本地應(yīng)急：第一時間趕到客戶現(xiàn)場，查找原因并解決相應(yīng)問題，最后出具應(yīng)急的報告

應(yīng)急響應(yīng)步驟

勒索病毒簡介：

??伴隨數(shù)字貨幣星期的一種新型病毒木馬：比特幣、達(dá)世幣等

??2008以前：鎖屏勒索

??2017年5月wannacry（永恒之藍(lán)勒索蠕蟲），勒索病毒已成為對政企機(jī)構(gòu)和網(wǎng)民直接威脅最大的一類木馬病毒。

??Globelmposter、Gandcrab、Crysis等勒索病毒

??最新威脅：不支付贖金就公開數(shù)據(jù)

勒索病毒傳播方式

??利用漏洞：ms17-010,office,weblogic等漏洞

??釣魚郵件

??網(wǎng)頁掛馬

??手工植入

??暴力破解rdp

??暴力破解系統(tǒng)弱口令

??軟件綁馬等

?

Globelmposter行為分析：

2?復(fù)制病毒文件到指定目錄：appdata

2?計算機(jī)用戶id并生成勒索文件

2?寫入用戶密鑰寄ID

2?持久性駐留：創(chuàng)建注冊表文件。設(shè)置開機(jī)自啟動

2?加密硬盤文件

2?刪除卷影副本及遠(yuǎn)程登錄日志

2?刪除自身

復(fù)制病毒文件到指定目錄：

?

解密方式：

獲取黑客的私鑰，私鑰解密獲取用戶的私鑰，用戶的私鑰解密密文

?下列三種情況可以通過互聯(lián)網(wǎng)上的解密工具完成

l?勒索病毒的涉及編碼存在漏洞或并未正確實現(xiàn)加密算法

l?勒索病毒的制造者主動發(fā)布了密鑰或主密鑰

l?執(zhí)法機(jī)構(gòu)查獲帶有密鑰的服務(wù)器，并進(jìn)行了分享。

重點：解密之前必須備份重要數(shù)據(jù)

l?專業(yè)人員處理（第三方）

?

?課程地址：https://www.aqniukt.com/course/13338

?