实验目的
掌握针对勒索病毒的判断、识别、处置方法
实验环境
一台Windows server 2012r2 已经中了勒索病毒
实验原理
识别勒索病毒,有些勒索病毒因为程序编写漏洞或开发者放弃,可以找到解密密钥。进行解密
实验步骤
一、观察勒索病毒
登录系统,发现桌面背景提示
初步可以判断,系统已经中了勒索病毒
尝试用记事本,打开桌面的文本文档
双击记事本
发现文件被加密,是乱码
确定中了勒索病毒
二、查看桌面提示关键字
通过桌面背景发现加密关键字
ENCRYPTED BY GANDCRAB 5.0.3
三、了解GRANCRAB勒索病毒
通常各大安全厂商有勒索病毒专区,如国际厂商kaspersky、bitdefender、avast、symantec,国内厂商Sangfor、360等
如Avast的
https://www.avast.com/zh-cn/ransomware-decryption-tools
又或是深信服的
http://edr.sangfor.com.cn/#/information/ransom_search
这里我们使用深信服的页面 搜索该病毒名
查看报告,该报告为5.2版本的病毒原理介绍
四、尝试使用工具解密病毒
尝试去寻找不同的厂商的解密工具
在bitdefender寻找解密工具
在avast页面找到gandcrab的标签
下载软件
这里有很多不同版本的解密工具,实验环境中已经内置好解密工具。
打开文件夹C:\USERS\download2\
双击运行软件BDGandCrabDecryptTool
同意许可
确定提示
选择要解密的文件夹,这里以桌面为例
开始解密
解密完成
再次查看桌面的记事本,已经解密成功。
接下就是备份解密后的文件,重装系统,安装补丁等操作
总结
勒索病毒并不是都像实验环境中这么容易解密。目前能解密的勒索病毒只是少数,我们更多的是需要加强对勒索病毒的防御。如使用EDR软件进行保护,或加强系统补丁安装。
主流勒索病毒传播都是通过RCE漏洞或弱口令进行自动化攻击,针对这两点做好防御,加强主动防御。可防范勒索病毒。像新版本就很难存活。