u盘被svchost-(u盘被svchost占用)

(u盘被svchost占用)

通过昨天的文章，想必大家多勒索病毒都有了一个初步的了解。那就听我们就了解下当中了勒索病毒后，我们应该怎么处理。

中了勒索病毒千万不要慌，针对勒索病毒的应急，我们的排查也可以基于PDCERF模型，当然勒索病毒还是比较特殊的，第一时间还是先对所有中毒主机进行断网处理。可以参照以下的步骤：

梳理资产，确认灾情保留现场，断开网络确认诉求，

聚焦重点样本提取，数据收集判断家族，尝试解密

溯源取证，封堵源头加固防御，以绝后患

梳理资产，确认灾情

中了勒索病毒，首先明确好当前资产现状，确认好灾情。制定一个表格，确认好哪些资产是被勒索病毒感染，哪些目前还比较安全，多少台是服务器，多少台是终端。所中勒索病毒，是否为同一种？可以参照下图表格进行信息的收集。

信息收集表

保留现场，断开网络

第一时间将所有中招主机进行物理隔离方式（如拔网线），这样可以防止进一步扩散，造成二次伤害。至于其它未中招的主机，建议根据灾情实际情况，选择是否隔离网络。建议所有主机都隔离网络，等应急结束，加固完成后，再放通网络。

中招主机隔离后，建议保留现场，不要破坏环境或者格式化系统，除非不需要做溯源取证和入侵原因分析，不然会给后续做防御加固、解密恢复带来困难。通常来讲，中招主机也不要断电，不要重启，如果真的需要数据恢复，可以找专业的厂商来解决。

确认诉求，聚焦重点

确认诉求，是勒索病毒应急响应的核心。

首先，受害者企业必须知道自己的核心诉求是什么，这样应急响应人员可以根据核心诉求，按照紧急程度依次开展工作。包括不限于：数据解密、加固防御、入侵分析（溯源取证）、样本分析、内网安全状况评估等等。受害者最关心的，则优先投入，优先响应排查。

样本提取，数据收集

提取系统日志：将C:\Windows\System32\winevt\Logs目录拷贝一份到桌面，然后在桌面上将其压缩为以中招主机命名的压缩包，例如：192.168.1.1-windows-log.zip

提取加密文件：选取若干文件较小的被加密文件，留作后面解密尝试，以及用于判断勒索病毒家族。

判断病毒文件是否还在加密

使用everything文件检索工具，查询勒索病毒后缀，确定加密时间。

按修改时间排序，观察是否有新的被加密文件。如果正在加密，立刻关机，关机后可将磁盘进行刻录用来分析；如果已经停止加密，则继续进行操作。

判断病毒文件是否在本机

由于勒索病毒通常都会对其所能访问到的共享文件夹进行加密，所以病毒文件有可能并不在被加密的主机中。

判断方法为：观察是否只有部分文件夹被加密，由于勒索病毒一般都是全盘加密的，除了排除几个系统文件夹比如“Windows”等以保证系统正常运行外，对于其他文件夹都是无差别加密，所以只有部分文件夹被加密一般都是共享文件夹的情况，查看被加密的文件夹属性，看是否都为共享就可确认。

收集系统日志文件

Windows系统日志目录为“C:\Windows\System32\winevt\Logs”，整个打包出来就行了。进行分析，查找中毒时间段内有什么IP登录中毒主机。是否存在rdp、smb暴力破解行为。当然应用日志我们也可以收收集。

查找病毒文件

勒索病毒文件通常都比较新，可以使用everything搜索“*.exe”，按修改时间（或创建时间）排序，如下：

病毒文件名或伪装成系统文件如“svchost.exe”、“WindowsUpdate.exe”，或直接用加密后缀命名如“Ares.exe”、“Snake.exe”，或者其他奇怪的名字如“dll.exe”等等。总之，就是看起来“不太正常”的exe文件（文中的[user]通指的当前系统的用户名，用户名可能是administrator，也可能是具体人名，请根据实际用户名进行替换）。

按照这样的方法找到可疑文件，可以通过查询VirusTotal（计算md5查询，最好不要直接上传文件）、在虚拟机中运行或者直接提供给安全团队进行确认。

大多数情况下使用这种方法都能够找到病毒文件，找不到的话可以用工具全盘扫描。另外由于一些病毒有自删除行为，所以不一定能找到病毒文件，比如CryptOn。

判断家族，尝试解密

可以通过文件后缀或者黑客邮箱进行查询。

查询网址如：

https://www.nomoreransom.org/

https://id-ransomware.malwarehunterteam.com/

溯源求证，封堵源头

查看登陆过本机的IP

（1）打开事件事件日志

我的电脑 -> 右键 -> 管理 -> 事件查看器。

（2）找到RDP连接日志

应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager

选中Operational，右边就出现了RDP的日志信息，点击操作窗口筛选当前日志，填入事件ID号1149，就能看到所有RDP登陆过当前主机的IP，这样就能溯源出黑客的跳板机了。

电脑

（3）查看本机登陆过的IP

打开注册表，打开此路径：HKCU\Software\Microsoft\Terminal Server Client。

选中Default可以看到连接过的IP。

选中Servers -> [IP]可以查看登陆名。

其他溯源方式

如果中招的企业内网，已部署相应的网关产品，则可以通过网关日志，确定爆破源和扫描源。另外，也可以通过文件修改时间，确定各个主机之间的先后感染顺序，一般来讲，最开始被感染的主机，都是内网被撕开的口子，即内网入侵点之所在。

另外，这里给出几个勒索病毒常见的入侵工具：

Mimikatz密码窃取工具，其日志如下

电脑

通常来讲，该工具命名如下：

Advanced IP Scanner，功能比较强大，支持多种协议（包括RDP），可对单台，也可对整个网段进行扫描，甚至可实现完全控制。

ProcessHacker是一款不错的进程分析工具，不过常被黑客用来对抗杀毒软件，例如在运行勒索前，卸载掉杀毒软件。

如果在中招主机上，发现上述黑客工具，则说明这台主机正在成为跳板主机。

加固防御，以绝后患

加固防御，也是勒索病毒应急响应的重要组成部分，是防止二次伤害，二次中招的关键步骤，主要的加固和防御方向如：避免弱口令，避免多个系统使用同一口令；漏洞管理，定期漏扫，及时打补丁，修复漏洞；安装杀毒软件，定期杀毒；数据备份，对重要的数据文件定期进行非本地备份；安全意识宣传，电脑包括不使用不明来历的U盘、移动硬盘等存储设备、不要点击来源不明的邮件以及附件、不接入公共网络也不允许内部网络接入来历不明外网PC。用户可以根据实际情况，选择以下操作步骤。

关闭潜在威胁服务及窗口

启用并打开“Windows防火墙”，进入“高级设置”，在入站规则新建规则。

关闭无业务需求服务器的 UDP 137、UDP 138、以及 TCP 139、445 端口