Windows应急响应Day3：勒索病毒

前言

勒索病毒，是一种新型病毒，主要邮件，程序木马，网页挂马的形式进行传播。该病毒性质很恶劣，一旦感染讲给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才能破解。自Wannacry勒索病毒在全球爆发之后，各种变种及新型勒索病毒层出不穷。

应急场景

某天早上，管理员打开OA系统，首页异常，显示乱码：

事件分析

登录网站服务器进行排查，在站点目录下面发现所有脚本文件及附件都被加密为.sage结尾的文件，每个文件夹下面都有一个!HELP_SOS.hta文件，类似如下：

打开该文件，显示如下：

这就是勒索病毒，上传样本到360勒索病毒网站:http://lesuobingdu.360.cn进行分析：确认了web服务器中了sage勒索病毒，目前暂时无法解密。

绝大多数勒索病毒是无法解密的，一旦被加密，即使支付也不一定能够获得解密密钥，在平时运维中应积极做好备份工作，数据库与源码分离。

这里有一些勒索病毒解密工具： https://www.nomoreransom.org/zh/index.html http://lesuobingdu.360.cn