0x00 前言

​ 勒索病毒，是一種新型電腦病毒，主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給使用者帶來無法估量的損失。這種病毒利用各種加密演算法對檔案進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。自WannaCry勒索病毒在全球爆發之後，各種變種及新型勒索病毒層出不窮。

0x01 應急場景

​ 某天早上，網站管理員開啟OA系統，首頁訪問異常，顯示亂碼：

0x02 事件分析

​ 登入網站伺服器進行排查，在站點目錄下發現所有的指令碼檔案及附件都被加密為.sage結尾的檔案，每個資料夾下都有一個!HELP_SOS.hta檔案，打包了部分樣本：

開啟!HELP_SOS.hta檔案，顯示如下：

到這裡，基本可以確認是伺服器中了勒索病毒，上傳樣本到360勒索病毒網站（http://lesuobingdu.360.cn）進行分析：確認web伺服器中了sage勒索病毒，目前暫時無法解密。

絕大多數勒索病毒，是無法解密的，一旦被加密，即使支付也不一定能夠獲得解密金鑰。在平時運維中應積極做好備份工作，資料庫與原始碼分離（類似OA系統附件資源也很重要，也要備份）。

遇到了，別急，試一試勒索病毒解密工具：

“拒絕勒索軟體”網站
https://www.nomoreransom.org/zh/index.html
360安全衛士勒索病毒專題
http://lesuobingdu.360.cn
 

https://www.nomoreransom.org/zh/index.html
360安全衛士勒索病毒專題
http://lesuobingdu.360.cn

0x04 防範措施

​ 一旦中了勒索病毒，檔案會被鎖死，沒有辦法正常訪問了，這時候，會給你帶來極大的困惱。為了防範這樣的事情出現，我們電腦上要先做好一些措施：

1、安裝防毒軟體，保持監控開啟，定期全盤掃描
2、及時更新 Windows安全補丁，開啟防火牆臨時關閉埠，如445、135、137、138、139、3389等埠
3、及時更新web漏洞補丁，升級web元件
4、備份。重要的資料一定要備份，謹防資料丟失
5、強化網路安全意識，陌生連結不點選，陌生檔案不要下載，陌生郵件不要開啟
 

最後

歡迎關注個人微信公眾號：Bypass--，每週原創一篇技術乾貨。