xixuedafa123 发表于 2020-6-29 12:31

关于勒索病毒中了的应急流程问题

本帖最后由 xixuedafa123 于 2020-6-29 12:34 编辑

因为没有真正遇到过,想讨论下勒索病毒的应急流程。




首先是发现了勒索病毒是第一时间关机还是考虑dump内存,
我看到一种说法,电脑重启后内存中可能存在密码啥的就没有了,
但是反过来说,立即关机可以让病毒停止运行,可以通过U盘引导的办法备份更多的文件。
dump内存的方法可以是dumpAccessData FTK Imager,dumpit,但是我发现,就dumpit有用,还是旧的系统有用,新的系统容易蓝屏。
“ You got extremely lucky if dumpit.exe worked. We recommend Volexity Surge Collect Pro and GMG KnTTools to our training classes, as they are the only two that are reliable enough in the field, especially when capturing memory from Win7 or later systems, and systems with greater than 4GB RAM.”
然后就是找出病毒样本的时间是啥时候?
找出病毒源的方法就是杀毒软件查杀,这个时候我看帖子上说就是安全模式,用XX杀毒软件啥的。

ahov 发表于 2020-7-23 09:32

本帖最后由 ahov 于 2020-7-23 09:35 编辑

病毒是要注意防范的,平时电脑上要在不冲突的情况下备好适量的杀毒软件(不要过多,防止冲突;也不要没有),要尽量防止和避免万一中毒断网之后没有相关工具,再去使用U盘复制,结果病毒在你复制的时候感染U盘里的文件。一般中毒之后先断网,然后先用火绒剑之类的手工监测工具配上其他工具去监测一下目前的系统运行环境,看看有无可疑程序,何时下载的可疑程序,再对症下药用杀毒软件进行全盘查杀杀毒。如有解密工具,则解密加密文件(若有些病毒无解密工具的,则数据无法恢复,无解)。

DualCore 发表于 2020-6-29 22:06

楼主说的dump内存的办法我也听过。但估计没有经历过相关培训的人,可能很难利用这类工具拿到密钥。
对勒索病毒,我认为最好的办法就是以防为主,特别是加密+备份的双重防御。备份的重要性不必说;加密的好处其一是防止对方用公布隐私数据为要挟手段,其二是可以隐藏扩展名,使勒索病毒找不到攻击目标。
我一贯信任的是Cryptomator和Onedrive的组合,加上杀毒软件的文件回滚功能,被勒索病毒得手的概率不敢说为零,至少也是大大降低了。

丶懒喵喵 发表于 2020-6-29 13:25

少下那些乱七八糟的软件比如XX直播、XX刷币、XX刷枪、XX刷点卷

Minami 发表于 2020-6-29 13:31

少点链接,少下软件(

对方正在输入i 发表于 2020-6-29 13:43

我上一次中勒索病毒是因为开了公网IP,又开了3389端口映射,弱口令被爆破了

Edison_zhu 发表于 2020-6-29 15:20

中过一次,现身说法
准确的说是公司其它机器中了,我去处理的。
1.中了后的状况大家都知道,其本上数据已经都加密了
2.此时不管是关机或杀内存都没用了
3.拔网线,U盘拷贝最新杀毒,干一次全盘
4.删数据吧

sj1232123 发表于 2020-6-29 15:41

大神能不能,写写具体流程,学习学习啊

luted 发表于 2020-7-14 23:20

期待专杀工具早日出现,请问大家 在线影院看电影有没有可能中招呢

maxdeng86 发表于 2020-7-16 14:03

只能说多备份,系统补丁更新什么的经常更新。。。。

萧何月下追韩信 发表于 2020-7-19 21:33

少下乱七八糟的软件
页: [1] 2
查看完整版本: 关于勒索病毒中了的应急流程问题