勒索病毒处置

实验目的

掌握针对勒索病毒的判断、识别、处置方法

实验环境

一台Windows server 2012r2 已经中了勒索病毒

实验原理

识别勒索病毒，有些勒索病毒因为程序编写漏洞或开发者放弃，可以找到解密密钥。进行解密

实验步骤

一、观察勒索病毒

登录系统，发现桌面背景提示

 初步可以判断，系统已经中了勒索病毒

尝试用记事本，打开桌面的文本文档

 双击记事本

发现文件被加密，是乱码

确定中了勒索病毒

二、查看桌面提示关键字

通过桌面背景发现加密关键字

ENCRYPTED BY GANDCRAB 5.0.3

三、了解GRANCRAB勒索病毒

通常各大安全厂商有勒索病毒专区，如国际厂商kaspersky、bitdefender、avast、symantec，国内厂商Sangfor、360等

如Avast的

https://www.avast.com/zh-cn/ransomware-decryption-tools

如深信服的

http://edr.sangfor.com.cn/#/information/ransom_search

 这里我们使用深信服的页面搜索该病毒名

查看报告，该报告为5.2版本的病毒原理介绍

同学可以自行查看

四、尝试使用工具解密病毒

尝试去寻找不同的厂商的解密工具

在bitdefender寻找解密工具

在avast页面找到gandcrab的标签。

 下载软件

这里有很多不同版本的解密工具，为避免下载问题，实验环境中已经内置好解密工具。学员也可以自行尝试下载不同工具，尝试解密。

打开文件夹C:\USERS\download2\

双击运行软件BDGandCrabDecryptTool

同意许可。

 确定提示。

选择要解密的文件夹，这里以桌面为例。

开始解密。

解密完成。

再次查看桌面的记事本，已经解密成功。

接下就是备份解密后的文件，重装系统，安装补丁等操作。

总结

勒索病毒并不是都像实验环境中这么容易解密。目前能解密的勒索病毒只是少数，我们更多的是需要加强对勒索病毒的防御。如使用EDR软件进行保护，或加强系统补丁安装。
主流勒索病毒传播都是通过RCE漏洞或弱口令进行自动化攻击，针对这两点做好防御，加强主动防御。可防范勒索病毒。

​

阅读原文：https://mp.weixin.qq.com/s/eAkzgZONzibfTjJHFU5IYg