一.什么是勒索病毒？

勒索病毒，是一种新型电脑病毒，主机感染勒索病毒文件后，会在主机上运行勒索程序，遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取。然后生成勒索通知，要求受害者在规定时间内支付一定价值的虚拟币才能恢复数据，否则会被销毁数据。从直观现象而言，勒索病毒的现象主要包含以下两种场景：

a）服务器文件被加密，例如加密成.java后缀或者其他奇怪的后缀名称，在桌面提示需要支付比特币赎金到某个账户，如果不支付将导致文件永远不可用，如下图所示：

b）内网主机成片出现蓝屏现象，蓝屏的代码提示srv.sys驱动出现问题，如下图所示。

二.勒索病毒事件处理流程

1.IT管理人员发现服务器中的文件勒索通知截图取证，类似如下图。下图是wannacry的截图，不同勒索病毒可能展现形式有一点区别，总体上都是文件加密+弹框勒索。

2.被加密的时间和文件后缀名是什么，截图取证。

3.服务器是否对外开放3389远程桌面端口，截图取证。

4.服务器检查是否开放了135,137,139，445等端口，截图取证。确认是否打过MS17-010（永恒之蓝）补丁，systeminfo查看补丁信息：

5.服务器是否存在被勒索当天的安全日志

1）勒索病毒的另一个现象是内网主机出现莫名其妙的蓝屏，病毒在局域网内一般都是通过网络共享服务传播，wannacry变种病毒传播方式跟之前勒索病毒一样，也是通过MS17-010中的永恒之蓝漏洞进行传播。

在内网蓝屏主机上使用wireshark抓包工具会发现大量的445端口的数据包（注意：如果开机一会就蓝屏没法抓包，可以在交换机镜像口抓包）

使用杀毒软件或者深信服提供的EDR专杀工具，可以发现感染主机上存在木马病毒文件，病毒文件为C:\Windows\tasksche.exe、C:\Windows\mssecsvc.exe等。

mssecsvc.exe释放自身中的资源文件到C:\Windows\tasksche.exe， tasksche.exe本应该是勒索程序，但此变种的该程序在主流的windows操作系统上运行出错，从而没有进行勒索行为。

如果C:\Windows\tasksche.exe存在，mssecsvc.exe将其更名为C:\Windows\qeriuwjhrf，在重复感染的情况下，C:\Windows\qeriuwjhrf文件一般都存在。

这种类型的勒索病毒会向外面连接恶意域名，通过抓包软就可以发现，感染病毒后的一些主机会请求恶意域名，如下图，访问了一个非常奇怪的域名，www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

三.常规勒索病毒事件排查方法

1.服务器未打MS17-010补丁，中毒原因排查方法

（1）咨询服务器管理员了解服务器中的文件大概被加密的时间，记录下服务器被勒索的时间。

（2）检查服务器之前是否打过MS17-010补丁，服务器中的补丁编号与官方编号进行对比（如win2008R2补丁 KB4012212、KB4012215），如果没有发现对应的补丁，则该服务器未打MS17-010补丁，截图取证。

systeminfo查看补丁信息：

不同版本的操作系统对应的MS17-010补丁编号链接：