记录一次勒索病毒的袭击

没啥活了，来水篇文章

昨天在给客户做应急响应的时候，发现了新的 Weaxor 家族的变种，经过排查，初步判定是通过用某财务软件进来的，在事件发生前客户告知装了360，但是后来这360一点响应都没有，也就是说，病毒从触发到落地的时候360一直都是在的（于是赶紧把360删了换了火绒）。

对于这个新的勒索病毒家族，被加密的文件基本上都是以 .wxx 结尾的，而且加密方式大概率是AES，短时间内基本上是无解的了，线上线下所有查勒索病毒的网站和设备都试过了，都没能识别出来，后来发现淘宝上有对应的数据恢复，据说是解得开的（会不会是一伙的？），这里我也不敢试怕被骗了。

经过一系列入侵排查，发现该病毒落地的时候还删除了 Windows 相关日志，在对其进行数据恢复的时候，发现部分文件只加密了一半（？），有些文件是打得开的，但是中间结构被加密打乱了，导致数据只能读一半。

闲着没事干去问了下黑客金额，发现要3000多刀，这里不推荐大家去给黑客打钱，由于链上交易，有时候黑客用多个仓库转钱转到哪里了你都不知道，不过对于这类手段，慢雾有对应的货币追踪分析平台

https://misttrack.io/

然后，就没然后了，把客户电脑归恢复的恢复，该找回的找回，该断网的断网，又水一天。

关于防护：

对于这类软件没啥好说的，对于Win来说无非就是装上一些杀毒软件，这里推荐卡巴斯基、火绒、天擎、或者Windows自带的Defence，至于其他，我不好评价，然后就是尽量！尽量！尽量！不要给自己电脑超管权限，昨天客户有很大一个问题就是机子给了Administrator，导致黑客不用绕过UAC直接种马了，然后所有账户全被写wxx了。。。

Reference

• https://mp.weixin.qq.com/s/KMBpGyGP8p7YeMr0Dr_9BA