勒索病毒简介

        勒索病毒，是一种新型电脑病毒
，主要以邮件、程序木马、网络挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

在排查系统是否感染勒索病毒时，分为以下几步

一、事件状态判断

1、了解现状
        检查文件是否被加密；设备是否能正常打开；打开文件是否有勒索信息展示；是否有新文件创建，该文件存储了解密信息及解密联系方式。

2、了解感染时间
        检查文件被加密的时间；设备无法正常启动的时间；新文件产生的时间；事件发生的事件。

3、确认感染者
        通过上面的定位，确认被感染的主机。

4、临时处理方法
对感染主机
1）断开网咯
2）禁止使用U盘、移动硬盘等可执行摆渡攻击的设备

对未被感染主机
1）关闭SSH、RDP等协议，修改密码
2）异地备份重要数据
3）禁止使用U盘、移动硬盘等可执行摆渡攻击的设备

二、排查方法

1、文件排查

Windows

1）查看开机启动有误异常文件
开始>运行>msconfig

2）检查各个磁盘下的temp|tmp目录有无异常文件

3）查看用户相关的recent文件，分析可疑文件。Recent是系统文件夹，存放最近使用的文档的快捷方式。
开始>运行>%UserProfile%\Recent
跟据文件夹内文件列表时间排序，查找可疑文件查看文件的创建时间、修改时间、访问时间。黑客通过工具改变的是修改时间，如果修改时间在创建时间之前明显是可疑文件。

Linux

1）敏感目录下的文件分析
ls -alt /tmpls -alt /usr/bin
ls -alt /usr/sbin

2）查看开机启动项内容
ls -alt /etc/init.d/
该目录是/etc/rc.d/init.d的软链接

3）查看用户信息文件/etc/passwd
主要检查非nologin的用户，然后去该用户家目录下打开bash_history，检测是否执行过恶意命令

4）查看分析任务计划
crontab -l
检测是否有后门程序

5）查找到可疑文件后，使用stat查看文件详细时间stat filename

2、进程排查

Windows

1）开始>运行>netstat -ano | findstr ESTABLISHED，查看目前的网络连接，定位可疑的ESTABLISHED

2）通过netstat定位出来的Pid，再通过tasklist命令进行进程定位。
tasklist显示运行再本地或远程计算机上的所有进程
tasklist | findstr Pid

3）跟据tasklist定位出来的进程名，查找到该进程的全路径
wmic process | findstr "Pid_name"

Linux

1）使用netstat分析可疑端口、可疑IP、可疑PID及程序进程
netstat -anplt

2）使用netstat定位出的pid，跟据ps命令，分析该进程
ps aux | grep pid

3、日志排查

Windows

1）登录日志排查
方法一：开始>管理工具>事件查看>Windows日志>安全
方法二：开始>运行>eventvwr>Windows日志>安全

将需要排查的日志导出为文本形式，然后使用正则模式匹配远程登陆过的IP地址
((?:(?:25[0-5]|2[0-4]\d|(1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))

Linux

1）查看系统用户登录信息
使用lastlog，查看系统中所有用户最近一次登录的信息
使用lastb，显示用户错误登录列表
使用last，显示用户最近登录信息

2）查看进程和服务的日志事件信息
vi /var/log/syslog
查看是否有可疑事件

3）查看认证、授权相关事件
vi /var/log/auth.log

4）查看系统信息
vi /var/log/messages
这个日志文件包含了大量的系统消息，如守护进程状态更新、内核和硬件错误信息等

5）查看存储和安全相关的信息
vi /var/log/secure
该文件记录了诸如用户登录、认证失败、su 访问和 sudo 命令使用等事件

4、系统信息排查

1）查看环境变量的设置
我的电脑>属性>高级系统设置>高级>环境变量
主要是排查temp变量所在位置的内容。后缀映射PATHEXT是否包含非Windows的后缀，有无增加其它路径到PATH变量中。

2）查看计划任务防止恶意软件通过计划任务植入自己，执行扫描、加密等
程序>附件>系统工具>任务计划程序

3）查找隐藏账号
方法一：开始>运行>compmgmt.msc>本地用户和组>用户
方法二：开始>运行>cmd>net user
以$结尾的为隐藏用户

4）查看当前系统用户的会话
开始>运行>cmd>queryuser
查看是否有异常用户远程登录终端，如果有使用logoff User提出该用户

5）查看systeminfo信息
开始>运行>cmd>systeminfo
检查系统版本以及补丁信息

三、结语

        上述方式主要是用于排查感染主机，以及临时处理方案。一旦感染勒索病毒，想要恢复感染文件就要通过解密工具和支付赎金的方法。而解密工具并不一定能够解开密码，赎金又比较高昂。所以我们应该从源头上制止事件的发生。做到定期更新安全补丁、制定严格的口令策略、对入口进行封堵、定期进行安全扫描，以及对重要文件和数据进行异地备份。