以永恒之蓝去看勒索病毒之应急响应

永恒之蓝

   什么是永恒之蓝？它是一种利用windows系统的SMB协议漏洞来获取系统的最高权限，从而达到控制被入侵的计算机。永恒之蓝是在windows的SMB v1请求时发生的漏洞，攻击者可以在目标机上执行任意代码、植入病毒、远程控制木马等。   

什么是勒索病毒？首先我们要知道什么是勒索病毒？勒索病毒是一种新型的电 脑病毒，主要以邮件、木马程序、网页挂马的形式进行传播。如果被感染将会给用户带来不可估量的损失，其特征就是各种加密算法对文件进行加密，传播速度快，范围广，危害大，可以修改桌面，在桌面等明显的位置生成提示文件，指导受害者缴纳赎金，通俗就是一手交钱一手交货，且一般的杀毒软件具有免疫性。格式一般是exe、js、wsf、vbe等为主。

攻击者通过永恒之蓝漏洞进入目标主机后，执行勒索病毒。中毒后需要工程师做应急响应，所谓应急响应就是客户系统遭受病毒传播、网络攻击、黑客攻击等危害，导致客户数据丢失，数据篡改，直接或者间接受到巨大负面影响时，需要专业的人士提供入侵分析，损失评估，恢复业务，溯源等安全服务，避免带来更大的损失。受害者在中勒索病毒之后，一般是无法解密，必须要能拿到解密的私钥才可以破解，对于安全产品来说也是一种极大的挑战。

**解决办法
**

假如中了勒索病毒怎么办。第一步需要做的是对设备进行断网，防止继续传播，保存网络连接，方便后面对其溯源。第二步是查看被感染的主机范围，备份病毒相关日志和文件，确认完成之后，将感染主机进行隔离。第三步要做就是以最短的时间使其恢复正常。第四步根据勒索病毒的类型，到相关网站查找样本和勒索相关信息，确认后了解病毒是否可解密及解病毒工具等相关信息，给出相关防御措施。然后就是对本次事件进行溯源。
首先对此次事件进行定性：

1、 钓鱼邮件；

2、 利用cve漏洞传播；

3、 3389端口爆破

4、 SMB

5、 ……

一、 判断自己中了哪一类勒索病毒

发现文件名后缀被修改，文件被加密，不能正常使用。

发现存在明显的中毒要求付费窗口

二、 判断自己中了哪一种勒索病毒，以及传播途径

保存勒索病毒样本，通过各大厂商的勒索病毒搜索引擎进行查找，进一步分析病毒样本，查找是否存在解密工具。

了解到该病毒蠕虫部分及勒索病毒部分，前者用于传播和释放病毒，后用来攻击受害者并加密文件。此病毒制造者利用的是美国国家安全局（NSA）泄露的Windows SMB远程漏洞“永恒之蓝”进行传播。

a.判断是否在内网段

b.通过随机数拼接IP进行攻击

c.拼接之后，利用永恒之蓝（ms17-010）进行传播

如何处置中了勒索病毒的主机

1）在终端输入netstat–ano命令查看是否存在外联行为，以便后续溯源

2）禁用网络，防止病毒继续传播

3）分析主机日志，查看是否存在异常行为

病毒防御措施

1、及时打补丁，关注最新漏洞

2、关闭445端口

3、开启防火墙，过滤危险端口

4、培养安全意思，文明上网，不点不明连接，安装杀毒软件。

**如何简单排查是否存在隐藏病毒或后门
**

1）Windows后门排查

cmd命令行命令如下：

a） net user 查看是否存在隐藏账户

b）netstat –ano 查看是否开启了危险端口或存在外联行为

c）wmic startup get command,caption 查看启动程序的信息

d）wmic process list brief 查看进程信息

e）schtasks /query /fo LIST /v 查看计划任务

f）net localgroup administrators 查看管理员组成员

g）netsh firewall show config 查看防火墙配置

h）systeminfo 查看补丁信息

i）tasklist 查看当前所有进程

**2）Linux后门排查
**

a）cat /etc/passwd 检查异常账号

b）last 列出用户登陆信息

lastb 列出用户登陆失败的信息

lastlog 列出用户最近一次登录信息

c）ps -ef | more 查看进程项

d）crontab –l 列出计划任务列表

crontab –e 编辑计划任务

ls –la /var/spool/cron 查看计划任务文件

e）/var/log 查看文件目录下的日志文件

f）find / -perm -4000 2>/dev/null

find / -perm -u=s -type f2>/dev/null

find / -perm -4000 -o-perm -2000 2>dev/null|xargs ls–lh

setuid后门排查，根据文件权限查找文件

勒索病毒搜索引擎

【360】官网：http://lesuobingdu.360.cn

【腾讯】官网：https://guanjia.qq.com/pr/ls

【启明】官网：https://lesuo.venuseye.com.cn

【奇安信】官网：https://lesuobingdu.qianxin.com

【深信服】官网：https://edr.sangfor.com.cn/#/information/ransom_search

勒索病毒解密工具：

【瑞星】官网：http://it.rising.com.cn/fanglesuo/index.html

【nomoreransom】官网：https://www.nomoreransom.org/zh/index.html

【MalwareHunterTeam】官网：
https://id-ransomware.malwarehunterteam.com

【卡巴斯基】官网：https://noransom.kaspersky.com

【Avast】官网：
https://www.avast.com/zh-cn/ransomware-decryption-tools

【Emsisoft】官网：
https://www.emsisoft.com/ransomware-decryption-tools/free-download

【GitHub 项目】官网：
https://github.com/jiansiting/Decryption-Tools

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料，希望对想学习 网络安全的小伙伴们有帮助！

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套200G学习资源包免费分享！

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取技术文档】

（都打包成一块的了，不能一一展开，总共300多集）

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取书籍】

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享