4、应急响应

用途：个人学习笔记，欢迎指正

1、什么是勒素病毒？         勒索病毒是一种新型电脑病毒，主要以RDP爆破、钓鱼邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。2017年不法分子利用永恒之蓝(ms17-010)漏洞制作和传播wannacry勒索病毒一炮而红，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，危害巨大，2019年末，勒索已然呈现出“双重勒索”的趋势，即先窃取商业数据，然后实施勒索，如果未能在规定时间内支付赎金，将于网上（通常暗网）公开售卖企业的商业数据。 

2、勒索病毒危害影响？  （1）系统瞬时CPU占用高，接近100%，这个现象主要是在批量加密文件。  （2）所有应用都被无法使用和打开。  （3）系统应用文档被加密无法修改。  （4）文件后缀被修改并留下勒索信。  （5）桌面主题被修改。    (6）杀毒软件告警。(可能你并不懂告警了CrySiS是什么东西)

测试有风险，请用虚拟机保存快照后运行病毒

人工分析： (1)通过加密格式来判断 (2)通过桌面的形式来判断 (3)通过勒索者的邮箱来判断家族 (4)通过勒索者留下的勒索信为例 (5)通过微步云沙箱/威胁情报/暗网论坛平台分析： 勒索病毒搜索引擎 360:http://lesuobingdu.360.cn 腾讯：https::/guanjia.qq.com/pr/ls 启明：https:/lesuo.venuseye.com.cn 奇安信：https:/lesuobingdu.qianxin.com 深信服：https:/edr.sangfor..com.cn/#/information/ransom_search

当然，由于病毒加密算法复杂，除了开发者没人知道密钥，现在大部分勒索病毒都没有现成的解密工具，如果中了就只能认栽，所以要预防病毒传播途径。

勒索软件解密工具集 腾讯哈勃：https:/habo.qq.com/tool 金山毒霸：http:/www.duba.net/dbt/wannacry.html 火绒：http:/bbs.huorong.cn/forum-55-1.html 瑞星：http:/it.rising.com.cn/fanglesuo/index.html Nomoreransom:  https://www.nomoreransom.org/zh/index.html MalwareHunterTeam:  https://id-ransomware.malwarehunterteam.com 卡巴斯基：https:/noransom.kaspersky.com Avast:  https://www.avast.com/zh-cn/ransomware-decryption-tools Emsisoft:  https://www.emsisoft.com/ransomware-decryption-tools/free-download Github勒索病毒解密工具收集汇总：https:/github.com/jiansiting./Decryption-Tools 

(1)、Windows-WannaCry-感染&识别&解密失败 病毒样本: https://bbs.pediy.com/thread-267595.htm                   

  安天和哈勃解密工具解密失败！文件无法正常打开

(2)、Windows-Satan3.X-感染&识别&解密 病毒样本: https://bbs.pediy.com/thread-245987.htm 【瑞星】Satan勒索解密工具，  解密成功！ http://bbs.ikaka.com/showtopic-9353573.aspx

(3)、Linux-GonnaCry-感染&识别&解密 病毒样本: https://github.com/tarcisio-marinho/GonnaCry

该样本有一款工具能解密成功！其他工具都解密失败