应急响应的勒索软件对策

如果有一天你想打开一个文档或者启动一个程序却打不开，磁盘文件被修改加密，电脑桌面壁纸被更换，屏幕出现勒索信息要你付款支付赎金解密成功暴力破解比特币私钥，那么恭喜你，这么明显的特征，你中了勒索病毒了！

应急响应步骤

什么是应急响应？

通常是指组织对未来各种突发事件的发生所做的准备和事件发生后所采取的措施。 渗透测试是一项专业的安全服务，是对针对性烯烃入侵事件的实战演练。

安全事件：

ü 未经授权的访问：未经许可，以逻辑或物理方式访问网络、系统、应用程序、数据或其他资源的行为属于入侵行为。

ü 网络攻击事件——拒绝服务攻击：通过消耗CPU、内存、带宽或磁盘空间等资源，阻止和破坏授权用户对网络、系统等的正常使用。

ü 恶意程序事件 恶意代码：木马、僵尸网络、挂马攻击、勒索病毒等。

应急处理方法：

² 远程应急：通过电话、邮件等方式应急。

² 本地应急：第一时间赶到客户现场，查明原因并解决相应问题，最后出具应急报告

应急响应步骤

勒索软件简介：

Ø 伴随数字货币周而来的新型病毒木马：比特币、达世币等。

Ø 2008年之前：锁屏勒索软件

Ø 2017年5月Wannacry（永恒之蓝勒索病毒），勒索病毒已成为直接威胁政府、企业机构和网民的最大木马病毒类型。

Ø Globelmposter、Gandcrab、Crysis等勒索软件

Ø 最新威胁：不支付赎金数据泄露

勒索软件如何传播

Ø 利用的漏洞：ms17-010、office、weblogic等漏洞

Ø 钓鱼邮件

Ø 网页木马

Ø 人工植入

Ø 暴力破解rdp

Ø 暴力破解系统弱口令

Ø 绑马软件等

Globelmposter 行为分析：

² 复制病毒文件到指定目录：appdata

² 电脑用户名和生成勒索文件

² 写用户关键帖子ID

² 持久化：创建注册表文件。设置自启动

² 加密硬盘文件

² 删除卷影副本和远程登录日志

² 删除自己

复制病毒文件到指定目录：

解密方法：

获取黑客私钥成功暴力破解比特币私钥，解密私钥 获取用户私钥，用用户私钥解密密文

下面三种情况可以通过网上的解密工具来完成

l 勒索病毒涉及的代码存在漏洞或未正确实现加密算法

l 勒索软件创建者主动释放密钥或万能密钥

l 执法部门查封了带有密钥的服务器并进行了共享。

重要：解密前务必备份重要数据

l 专业加工（第三方）

查看>>>>>应急响应勒索病毒对策