打开电脑,发现文件都被修改为CC3H
![v2-c9368d7c7ace7fef56cb84f72c794adf_b.jpg](https://img-blog.csdnimg.cn/img_convert/d370c07299dddfd27f1eca393da93c20.png)
各处都有此html 打开之后查看,是勒索病毒 Decryption INFO.html
![v2-321d50104156c17ea0e2c91949694c25_b.jpg](https://img-blog.csdnimg.cn/img_convert/78dc0f1ad2491f50dd0365ef70328a66.png)
进行溯源,首先前一天晚上22:00左右电脑还是没有问题的,查看下文件修改时间,
基本上就是1月7日凌晨1点41:05
![v2-399edf8865d9f90358a25072cf80b277_b.jpg](https://img-blog.csdnimg.cn/img_convert/bf5217cff65687648154095552fc55f2.png)
先查看下其他简单的信息,(用户,共享,定时任务等等)
这是共享
其中C,D是默认共享。
admin$是正常的系统共享文件
IPC$也是系统自带
不过我感觉admin账号出了问题。
![v2-65e70d072998c3651f6ded787c928236_b.jpg](https://img-blog.csdnimg.cn/img_convert/2ae0826752975c87d3ef75983f7b7e23.png)
分析日志,首先查看前一天1:41左右的日志
![v2-c23a1bf6df2a517559436c600b53a7d8_b.jpg](https://img-blog.csdnimg.cn/img_convert/a3e583e1ae3db0052f1fd6067eb62ac4.png)
![v2-ccafe64b4366fec798d66d370da8b0a5_b.jpg](https://img-blog.csdnimg.cn/img_convert/af957c3155217db6a35bd0c85bdad734.png)
发现大量登录记录,猜测是暴力破解
通过日志找到了对应IP。但是是内网的主机,查看下
![v2-9e54ff10f1ac7f4961373abe2344ad64_b.jpg](https://img-blog.csdnimg.cn/img_convert/008d5617e2f886c648d5d1c2b98552ba.png)
然后日志中还有
找到这么一款工具,是1:39创建的,通过百度发现这是一款进程查看工具。
![v2-a425db4cdc6297e9c839f0d482dbafe7_b.jpg](https://img-blog.csdnimg.cn/img_convert/5d5119382aa4bd1ced0f2eb8fcfc2cec.png)
![v2-cdf089156807ea43e9138186bf28cf94_b.jpg](https://img-blog.csdnimg.cn/img_convert/29808703b8c1963243736b072754e4cb.png)
然后因为浏览器可用,我下载了360.360对此病毒并无任何反应。不过它扫描到了这个进程查看工具。以及木马文件
![v2-82bbe253def6891725e4b9f593698794_b.jpg](https://img-blog.csdnimg.cn/img_convert/31105ff52f4ff736f30a1a36895e14e6.png)
腾讯电脑管家是这么告诉我的
![v2-1b65e51f80cc50257167a7a520338097_b.jpg](https://img-blog.csdnimg.cn/img_convert/f480693e862a83ffd8950eb5e7d72d61.png)
在腾讯哈勃扫描了一下
![v2-ed8c2998008c2d500fb798fab8b07e4c_b.jpg](https://img-blog.csdnimg.cn/img_convert/2d1d7f9224b9965ee45f74acc221521a.png)
后面有些内容没有记录,总之,因为电脑上没有重要资料,只有几个虚拟机。所以最后直接重新做了系统。
这个勒索病毒,至少google浏览器还可以正常使用。以及没有后台运行,也就是只运行一次,只加密一次。