![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
应急响应
文章平均质量分 83
为最大限度科学、合理、有序地处置网络安全事件,采纳了业内通常使用的PDCERF方法学,将应急响
应分成:准备、检测、抑制、根除、恢复、跟踪六个阶段工作。
Sword-heart
悟已往之不谏 知来者之可追
展开
-
勒索病毒家族信息判断
(1)通过 EDR 官网查询勒索病毒家族,官网地址如下:深信服EDR(2)在搜索框中输入加密后缀进行查询(注:部分使用随机后缀的家族无法通过此方法搜索),如 POSEIDON666:(3)或者通过黑客邮箱进行查询,如 true_offensive@aol.com:(4)也可以通过家族名称搜索相关信息,如果有解密工具,可以进行下载: 除了深信服 EDR 官网查询勒索病毒,也可以尝试第三方机构查询勒索病毒家族。目前来说,国外这两个网站也有相关服务。Home | The No More Ransom Projec原创 2022-09-28 09:53:37 · 1511 阅读 · 1 评论 -
勒索病毒事件溯源
判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。使用文件搜索工具everything搜索“*.exe”、“*.bat”、“*.vbs”等,按创建时间排序,如下,对于创建时间为加密时间点附近的可疑文件,可取出进行进一步分析,包括勒索病毒、恶意脚本、黑客工具等。原创 2022-09-28 09:43:40 · 4587 阅读 · 0 评论 -
勒索病毒处置
1] 首先要明确真正的中毒主机,只有共享文件夹被加密的主机并没有中病毒。[2] 有的勒索病毒在运行完后会自删除,所以不一定能找到病毒样本。[3] 基本思路是确定开始加密时间,然后分析这个时间点的可疑文件及日志。[4] 大多数勒索事件都是RDP暴破人工植入,在溯源时应该首先往这个方向排查。原创 2022-08-24 18:09:30 · 1238 阅读 · 0 评论 -
Linux应急响应排查
1] 可疑进程名[2] 可疑域名/IP流量[3] 可疑定时任务[4] 可疑文件路径。原创 2022-08-24 17:57:11 · 1035 阅读 · 0 评论 -
Windows应急响应排查
对于“驱动人生”挖矿木马、wannamine之类已知的可以通过流行病毒处置引擎查杀的木马,如果全盘扫描没有结果时,可以尝试用快速扫描;原因是文件查杀引擎和流行病毒处置引擎是并行关系,当主机性能较低时,可能会导致流行病毒处置引擎超时。原创 2022-08-24 12:51:12 · 2236 阅读 · 0 评论