Java笔记——勒索病毒+处理

勒索病毒+处理-CSDN博客

勒索病毒特征即磁盘文件被加密，一旦完成勒索过程则无法恢复文件，因此这类病毒以预防为主，安装杀毒软件并做好主机防黑工作及时打补丁，对重要文件要及时隔离备份

  

1.了解现状

第一时间了解目前什么情况：

文件被加密？

设备无法正常启动？

勒索信息展示？

桌面有新的文本文件并记录加密信息及解密联系方式？

2.了解中毒时间

文件加密时间？

设备无法正常启动的时间？

新的文本文件的出现时间？

了解事件发生时间，后面以此时间点做排查重点；

3.了解系统架构
 

4.确认感染机器

5.感染文件特征和感染时间

1、操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及解密联系方式；

2、被加密的文件类型；

3、加密后的文件后缀；

6.被加密的文件类型

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

7.加密后的文件后缀

.WNCRYT，.lock，.pre_alpha，.aes，.aes_ni，.xdata，.aes_ni_0day， .pr0tect，.[stopstorage@qq.com].java，文件后缀无变化；

8.确认感染时间

Linux系统：

执行命令stat[空格]文件名，包括三个时间access time（访问时间）、modify time（内容修改时间）、change time（属性改变时间），如：

例：stat /etc/passwd

Windows系统：

例：右键查看文件属性，查看文件时间

9.处理方式

未被感染主机：

关闭SSH、RDP等协议，并且更改主机密码；

备份系统重要数据、且文件备份应与主机隔离；

禁止接入U盘、移动硬盘等可执行摆渡攻击的设备；

被感染主机：

立即对被感染主机进行隔离处置，禁用所有有线及无线网卡或直接拔掉网线

防止病毒感染其他主机；

禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备；

无法定位到文件？

木马执行完毕后自删除

采用傀儡进程技术，恶意代码只在内存展开执行

高级Rootkit或Bootkit级木马，强对抗性，三环工具无法探测

解决方式

收集系统事件日志，保持系统环境，请求后端技术支持

案例一

（1）事件概述

某日接到应急响应请求：某外网服务器中敲诈者病毒。

（2）事件分析

应急响应人员到场了解情况后，发现服务器中植入勒索病毒，导致全盘文件被加密为java后缀格式文件，所有应用均无法使用。发现系统所有文件被加密为java后缀文件；

桌面存在敲诈文件“FILES ENCRYPTED.txt”,内容为敲诈者的勒索信息，疑似攻击者邮箱为：xxxxxdx@qq.com；

该email地址已有多起攻击事件：

查看系统进程，发现天擎的相关防护服务已被关闭；

进一步排查，发现服务器对外开放了3389远程桌面管理端口；

administrator账户口令为弱口令，且自系统安装以来未修改过密码：

（3）结论：

服务器中“敲诈者”病毒，磁盘文件被全盘加密，目前暂时无法解密，只能通过重装操作系统来恢复，事件原因是黑客通过服务器3389端口弱口令进入，并上传加密程序执行加密；

案例二

应急响应小组成员在通过登录被加密感染的数据库服务器，发现其桌面上弹出勒索软件提示窗口：

通过对被加密文件进行索引，发现加密的开始时间为2017年12月X日X点09分13秒；

通过对系统日志进行分析，发现大量的远程桌面服务爆破日志：

同时，于 2017年X月X日凌晨00点09分26秒，IP归属于荷兰的攻击者成功登录该系统：

（3）结论

向客户说明服务器中勒索病毒，目前暂时无法解密，只能通过重装操作系统来恢复；

10.勒索病毒家族