2017年5月12日起，“勒索病毒”一词以迅雷之势出现在大众眼前，很多管理者谈之色变，令人恐惧的不是病毒，而是加密。

大部分计算机使用人员当遇到病毒的第一时间，想到的无非以下两种做法：

杀毒软件查杀或拷贝文件重装系统。

当勒索软件出现的那一刻，这两种方式已失去了意义。

有时终端电脑数据丢失都会令人伤心难过；当服务器中勒索病毒时，你便会苦笑不得，数据没有丢失，还在设备上，可是却无法使用。

2017年5月是我接触安全的第二年，我以渗透测试工程师的身份进入信息安全行业，这一年却因为勒索病毒改变了我的行业。

那个时候在上家公司，我信息安全这一块就我一人，那夜我记得格外的清晰，大晚上睡不着，在床上玩手机，突然一张照片在群里发送，看了一眼，全是英文没什么兴趣，准备关掉微信继续玩手机，这时另一条信息弹了出来，内网为勒索病毒席卷欧洲医疗单位，当时就想，什么玩意呀，那么厉害，从此便踏上了应急响应之路，在应急的道路越走越远。

2017.5—WannaCry；

2017.6—NotPetya；

2017.8—流氓软件（在系统中创建文件，无法删除）；

2018.3—xmr挖矿病毒（windows）；

2018.3—10WannaMine1~4；

2018.9—GlobeImposter；

2019.11—Sodinokibi；

2019.12—xmr挖矿（linux）；

2020.4—RobbinHood勒索

……

二、鸿蒙之初思路初成

1、小学生上学时，需要前往学校，在家与学校之间会选择一条道路，选择道路的过程时候一种思路；

2、初中生做物理作业时，当他遇到遇到已到关于摩擦力的题时，他需要算出答案，结题的过程是一种思路；

3、高中生在高考报名时，选择学校，选择学校的过程是一种思路。

三、牛刀小试之Sodinokibi勒索病毒溯源

3.1网络概述

2.3勒索病毒确认

1、钓鱼邮件；

2、利用RDP传播；

3、利用Weblogic漏洞传播；

1、首先A系统为服务器，且与互联网无数据交换，因此可以排除钓鱼邮件；

2、中间件为IIS，因此可以排除Weblogic漏洞传播；

3、排除以上两种方式后，只剩下RDP传播，可是该系统是在内网，为什么会是RDP传播呢？

4、可不可能是有内鬼，人工投毒呢？

3.3确认文件加密时间

3.4确认系统安全日志和攻击者IP

四、总结

作者:李之言 原文地址:https://www.freebuf.com/articles/system/234657.html

   学习更多技术，关注我：