勒索病毒应急响应指南
勒索病毒应急响应指南
- 1.勒索病毒的攻击特点
- 2.隔离被感染的服务器/主机
- 3.排查业务系统
- 4.确定勒索病毒种类,进行溯源分析
- 5.恢复数据和业务
- 6.清除加固
- 7.勒索病毒的防御方法
-
- 个人终端防御技术
- 企业级终端防御技术
1.勒索病毒的攻击特点
无 C2 服务器加密:
攻击者在对文件加密的过程中,一般不再使用 C2 服务器,也就是说现在的勒索病毒在加密时不需要回传私钥
- 在加密前随机生成新的加密密钥对(非对称公、私钥);
- 使用新生成的公钥对文件进行加密;
- 采用攻击者预埋的公钥把新生成的私钥进行加密,保存在一个 ID 文件中或嵌入加密文件。
无 C2 服务器加密技术的解密过程:
- 通过邮件或在线提交的方法,提交 ID 串或加密文件中的加密私钥(一般攻击者会提供工具提取该私钥);
- 攻击者使用保留的与预埋公钥对应的私钥解密受害者提交过来的私钥;
- 把解密私钥或解密工具交付给受害者进行解密