勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。自WannaCry勒索病毒在全球爆發之后,各種變種及新型勒索病毒層出不窮。
0x01 應急場景
某天早上,網站管理員打開OA系統,首頁訪問異常,顯示亂碼:
0x02 事件分析
登錄網站服務器進行排查,在站點目錄下發現所有的腳本文件及附件都被加密為.sage結尾的文件,每個文件夾下都有一個!HELP_SOS.hta文件,打包了部分樣本:
打開!HELP_SOS.hta文件,顯示如下:
到這里,基本可以確認是服務器中了勒索病毒,上傳樣本到360勒索病毒網站(http://lesuobingdu.360.cn)進行分析:確認web服務器中了sage勒索病毒,目前暫時無法解密。
絕大多數勒索病毒,是無法解密的,一旦被加密,即使支付也不一定能夠獲得解密密鑰。在平時運維中應積極做好備份工作,數據庫與源碼分離(類似OA系統附件資源也很重要,也要備份)。
遇到了,別急,試一試勒索病毒解密工具:
“拒絕勒索軟件”網站
https://www.nomoreransom.org/zh/index.html
360安全衛士勒索病毒專題
http://lesuobingdu.360.cn
ID Ransomware
https://id-ransomware.malwarehunterteam.com/index.php
0x04 防范措施
一旦中了勒索病毒,文件會被鎖死,沒有辦法正常訪問了,這時候,會給你帶來極大的困惱。為了防范這樣的事情出現,我們電腦上要先做好一些措施:
1、安裝殺毒軟件,保持監控開啟,定期全盤掃描
2、及時更新 Windows安全補丁,開啟防火牆臨時關閉端口,如445、135、137、138、139、3389等端口
3、及時更新web漏洞補丁,升級web組件
4、備份。重要的資料一定要備份,謹防資料丟失
5、強化網絡安全意識,陌生鏈接不點擊,陌生文件不要下載,陌生郵件不要打開
推薦閱讀:
最后
歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。
