记·Windows勒索病毒应急响应

一、了解攻击情况

打开电脑就是勒索信息页面，猜测可能中勒索病毒了。于是赶紧断网，防止病毒进一步扩散，开机页面如下。

经过微步查询文件中的域名确定是勒索病毒。并且每个文件夹都有勒索文件的信息。

这时出现了卷影复制的弹窗，实际上勒索病毒常见动作是卷影备份，删除卷影备份使被攻击者无法恢复任何已加密的文件。

二、攻击痕迹挖掘

接下来对系统层面进行排查，分别从异常计划任务、异常服务、账号安全、开放端口等层面进行检查。

1.排查计划任务以及服务，观察是否有木马文件

2.排查账号安全

发现该服务器禁止Guest账户，没有异常。防止存在影子用户，去管理看看。

3.排查启动项

发现启动项中存在异常程序，取消勾选并去相应目录删除文件。

4.排查开放端口

发现开启了3389端口，初步猜测通过rdp暴力破解进来，后面询问相关人员得知远程桌面的密码为弱口令Aa123456。

为了验证猜想是否正确，查看系统的安全日志。通过安全日志可以清晰的看到，在一秒时间内有多次访问失败的事件ID 4625，直到爆破成功登录服务器。

三、分析

攻击者通过暴力破解远程桌面密码，由弱口令进入服务器，随后运行勒索病毒。并且该病毒无法解密，因没有重要数据，所以进行重装系统。

后面通过查找相关勒索信息找到了病毒样本，属于木马家族Kryptik。

该木马采用的是RSA-4096非对称加密算法，对网络资源文件进行加密，加密之后会在桌面创建截图和勒索信息文本并打开，再删除备份数据生成的卷影副本，防止数据恢复。接着创建发送加密后的主机信息，最后删除原始文件。

该木马运行后会进行系统环境检测，通过注册表来检测是否安装了常见反病毒软件。随后设置注册表实现自启动，并且会自动删除原始文件达到隐匿的效果。还会进行一些系统敏感操作，如删除卷影副本以免系统被恢复、启动进程并注入代码、结束其他进程、将自身拷贝到其他目录下以及创建新的文档类文件等等。

四、安全建议

• 检测rdp端口是否为弱口令，并要求定期修改密码

• 对重要数据进行定期备份

• 多台机器不要使用相同的账号和口令

• 定期检测系统和软件中的安全漏洞，并及时打上补丁

• 安装防护软件，确保正常运行

• 提高员工的安全意识