一.什麼是勒索病毒？

勒索病毒，是一種新型電腦病毒，主機感染勒索病毒檔案後，會在主機上執行勒索程式，遍歷本地所有磁碟指定型別檔案進行加密操作，加密後文件無法讀取。然後生成勒索通知，要求受害者在規定時間內支付一定價值的虛擬幣才能恢復資料，否則會被銷燬資料。從直觀現象而言，勒索病毒的現象主要包含以下兩種場景：

a）伺服器檔案被加密，例如加密成.java字尾或者其他奇怪的字尾名稱，在桌面提示需要支付比特幣贖金到某個賬戶，如果不支付將導致檔案永遠不可用，如下圖所示：

b）內網主機成片出現藍色畫面現象，藍色畫面的程式碼提示srv.sys驅動出現問題，如下圖所示。

二.勒索病毒事件處理流程

1.IT管理人員發現伺服器中的檔案勒索通知截圖取證，類似如下圖。下圖是wannacry的截圖，不同勒索病毒可能展現形式有一點區別，總體上都是檔案加密+彈框勒索。

2.被加密的時間和檔案字尾名是什麼，截圖取證。

3.伺服器是否對外開放3389遠端桌面埠，截圖取證。

4.伺服器檢查是否開放了135,137,139，445等埠，截圖取證。確認是否打過MS17-010（永恆之藍）補丁，systeminfo檢視補丁資訊：

5.伺服器是否存在被勒索當天的安全日誌

1）勒索病毒的另一個現象是內網主機出現莫名其妙的藍色畫面，病毒在區域網內一般都是透過網路共享服務傳播，wannacry變種病毒傳播方式跟之前勒索病毒一樣，也是透過MS17-010中的永恆之藍漏洞進行傳播。

在內網藍色畫面主機上使用wireshark抓包工具會發現大量的445埠的資料包（注意：如果開機一會就藍色畫面沒法抓包，可以在交換機映象口抓包）

使用防毒軟體或者深信服提供的EDR專殺工具，可以發現感染主機上存在木馬病毒檔案，病毒檔案為C:\Windows\tasksche.exe、C:\Windows\mssecsvc.exe等。

mssecsvc.exe釋放自身中的資原始檔到C:\Windows\tasksche.exe， tasksche.exe本應該是勒索程式，但此變種的該程式在主流的windows作業系統上執行出錯，從而沒有進行勒索行為。

如果C:\Windows\tasksche.exe存在，mssecsvc.exe將其更名為C:\Windows\qeriuwjhrf，在重複感染的情況下，C:\Windows\qeriuwjhrf檔案一般都存在。

這種型別的勒索病毒會向外面連線惡意域名，透過抓包軟就可以發現，感染病毒後的一些主機會請求惡意域名，如下圖，訪問了一個非常奇怪的域名，www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

三.常規勒索病毒事件排查方法

1.伺服器未打MS17-010補丁，中毒原因排查方法

（1）諮詢伺服器管理員瞭解伺服器中的檔案大概被加密的時間，記錄下伺服器被勒索的時間。

（2）檢查伺服器之前是否打過MS17-010補丁，伺服器中的補丁編號與官方編號進行對比（如win2008R2補丁 KB4012212、KB4012215），如果沒有發現對應的補丁，則該伺服器未打MS17-010補丁，截圖取證。

systeminfo檢視補丁資訊：

不同版本的作業系統對應的MS17-010補丁編號連結：

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

（3）告知管理員伺服器未打MS17-010補丁，導致伺服器被勒索。

建議管理員做如下處置：

1. 重新安裝作業系統。

2. 利用NSA免疫工具關閉135,137,139,445等埠。

3. 重灌伺服器之後修改管理員密碼，確保密碼複雜度，建議使用VPN登入3389遠端登入。

4. 安裝終端防毒軟體。

5. 資料備份，對重要的資料檔案定期進行非本地備份

7. 建議部署安全感知平臺（可以發現內網哪些主機感染勒索病毒以及勒索病毒變種）發現更多威脅。

2. 伺服器打過相關漏洞補丁排查方法

伺服器打補丁仍然遭到入侵，檔案被加密，這種情況絕大多數是由於開放3389埠導致，其排查思路為：

（1）諮詢伺服器管理員，瞭解伺服器中的檔案大概被勒索病毒加密的時間，記錄下伺服器被勒索的時間。

（2）systeminfo命令檢查伺服器之前是否打過MS17-010補丁，伺服器中的補丁編號與官方編號進行對比（如win2008R2應該打的MA17-010補丁為 KB4012212、KB4012215），此場景下可以發現伺服器已經打上相應的漏洞補丁，截圖取證。

（3） 檢視伺服器是否開放135,139,445等高危埠，可以藉助一些wannacry免疫工具（如深信服EDR工具等查殺的檢測工具）進行檢測（如果檢測出有問題，不要免疫），截圖取證。

（4）檢視伺服器是否開放3389遠端登入，截圖取證。

（6）根據勒索病毒的字尾名，儘可能的找出最早被加密的那個檔案，記錄檔案的建立時間，修改時間

7）告知管理員伺服器3389登入密碼被駭客獲取，駭客遠端登入伺服器，植入勒索病毒，導致被勒索，建議管理員做如下處置：

1. 重新安裝作業系統。

2. 利用NSA免疫工具關閉135,137,139,445等埠。

3. 重灌伺服器之後修改管理員密碼，確保密碼複雜度，建議使用VPN登入3389遠端登入。

4. 安裝終端防毒軟體。

5. 資料備份，對重要的資料檔案定期進行非本地備份

7. 建議部署安全感知平臺（可以發現內網哪些主機感染勒索病毒以及勒索病毒變種）發現更多威脅。

當病毒爆發，內網主機大量出現藍色畫面現象，臨時的解決方案是在交換機上過濾所有介面的135,137,139，445訪問，禁止病毒在內網透過上述埠進行傳播。然後透過深信服EDR進行一臺臺主機病毒查殺。這種方式簡單粗暴有效，但是對於部分內網是需要進行445埠訪問的就不可行了，接入在同一個非網管的二層交換機下面也不能實現隔離，也很難及時發現內網勒索病毒爆發的情況。