应急:
1、找原因,为什么会产生勒索病毒?
1)、勒索病毒的特征:文件加密、BTC(比特币)地址--家族,定位到解密方式,
2)、如何解密,搜不出来怎么办?
3)、明确如何进来的
3389、漏洞
永恒之蓝ms17010-2017年勒索病毒利用最多;
邮件;
log4j-2022年勒索病毒利用最多的漏洞;
云桌面;
4)、定位
3389--外网入口(弱口令爆破)
windows排查:
- 账号
- 端口、进程
- 启动项系统信息、计划任务、服务
- 系统信息
- 自动化查杀(顺序1、扫描系统漏洞;2、扫描进程、关键位置、计划任务、注册表、杀毒、列出可疑文件,全盘扫描、任务管理器(免杀马)、task;)
- 日志
查看痕迹,是否开启特定端口445,
目标文件,日志分析,杀软(edr天擎-奇安信)
时间定位法(文件生成的时间、第一台被感染的机器)
log4j(业务、备份系统、热备)
云桌面(协议问题、漏洞)
5)、解决问题
- 断网(互联网、内网)网闸 or 拔网线
- 解密/u盘--拷贝样本(主程序:任务管理器-定位文件位置-交钱页面)把文件发给专家来解决问题;
6)、防护建议(60分)
- 多做安全检查、
- 扫描并杜绝使用弱口令,
- 加强访问控制,
- 提高对大型漏洞的认识
系统日志:
- 登陆日志
- 用户执行命令
- 软件安装、上传
web日志:
- 访问ip、用户
- 执行命令时间、ip
- 特征值、cookie、logo、特定的思路