前言

勒索病毒,是一种新型病毒,主要邮件,程序木马,网页挂马的形式进行传播。该病毒性质很恶劣,一旦感染讲给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才能破解。自Wannacry勒索病毒在全球爆发之后,各种变种及新型勒索病毒层出不穷。

应急场景

某天早上,管理员打开OA系统,首页异常,显示乱码:

事件分析

登录网站服务器进行排查,在站点目录下面发现所有脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下面都有一个!HELP_SOS.hta文件,类似如下:

打开该文件,显示如下:

这就是勒索病毒,上传样本到360勒索病毒网站:http://lesuobingdu.360.cn进行分析:确认了web服务器中了sage勒索病毒,目前暂时无法解密。
截图时间:2021.3.15
绝大多数勒索病毒是无法解密的,一旦被加密,即使支付也不一定能够获得解密密钥,在平时运维中应积极做好备份工作,数据库与源码分离。

这里有一些勒索病毒解密工具:
https://www.nomoreransom.org/zh/index.html
http://lesuobingdu.360.cn

最后修改:2022 年 03 月 15 日 08 : 51 PM
如果觉得这篇文章不错,不妨赏我碎银几两。