文章总结： 本文概述勒索病毒定义、特点及传播途径，指出其难以解密。常见传播包括服务器入侵、漏洞利用及供应链攻击。防御需定期打补丁、强化口令并部署杀毒软件。应急响应建议立即隔离终端，因无法解密建议重装系统，同时关闭文件共享与3389端口并进行深度查杀。 综合评分： 75 文章分类： 应急响应,恶意软件,网络安全,解决方案,漏洞分析

简单勒索病毒网络安全应急响应

照夜清安全cc

照夜清安全

2026年1月4日 17:23

#

1.1 勒索病毒简介

勒索病毒是伴随数字货币兴起的一种新型病毒木马，机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊后缀，且受害者无法读取原本正常的文件，从而造成无法估量的损失。攻击者利用受害者无法自己解密文件来向受害者勒索高昂的赎金，这些赎金必须通过数字货币支付，一般无法溯源，因此危害巨大。

上图是一张勒索病毒的案例

1.2 勒索病毒特点

1.通常使用非对称加密算法和对称加密算法组合形式来加密文件

2.文件名有特殊后缀，例如WNCRY、dbger

3.放到绝大多数勒索病毒均无法通过技术手段解密，必须拿到对应的解密私钥才可能无损还原被加密文件

4.无C2服务器加密技术流行，也就是说现在的勒索病毒在加密时不需要回传密钥

5.勒索病毒攻击的定向化、高级化，如钓鱼邮件中存在受信任用户的电子邮件

6.运行后在临时目录下创建5个文件（攻击模块、勒索信）

7.系统每个目录下放两个勒索信（常见勒索信文件格式*.txt、*.hta）

8.恶意删除本地价值数据、文件

9.系统瞬时CPU占用高，接近100%，这个现象主要是在批量加密文件

1.3 勒索病毒利用的常见漏洞

攻击者会使用常见的中间件漏洞以及弱密码暴力破解方法进行攻击，因此安全管理人员在日常应关注补丁更新信息，设置的登录密码应采用大小写字母、数字、特殊符号混合的组合结构，且密码位数要足够长，并定期进行更新。

1.4 勒索病毒传播方法

1.服务器入侵传播

攻击者可通过系统或软件漏洞等方法入侵服务器，或通过RDP弱密码暴力破解远程登录服务器。例如，可以卸载服务器上的安全软件并手动运行勒索病毒。目前，管理员账号、密码被破解是服务器入侵的主要原因。

2.利用漏洞自动传播

勒索病毒可通过系统自身漏洞进行传播扩散，此类勒索病毒在破坏功能上与传统勒索病毒无异，都是通过加密用户文件来获得勒索现金的，但是传播方法不同，所以更难防范，需要用户及时更新有漏洞的软件或安装对应的安全补丁。

3.软件供应链攻击传播

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级的过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查，达到非法目的攻击。

4.邮件附件传播

通过伪装成产品订单详情或图纸等重要文档的钓鱼文件，在附件中夹带含有恶意代码的脚本文件，一旦用户打开附件，便会执行其中的脚本，释放勒索病毒。

5.利用挂马网页传播

攻击者入侵主流网站服务器，在正常网页中植入木马，访问者在浏览器网页时，其利用IE或Flash等软件漏洞进行攻击，属于撒网抓鱼式的传播，没有针对性。

1.5 事件防御

1.定期给主机打补丁

2.口令策略加固

3.部署杀毒软件，流量监控设备

1.6 事件应急处理

1.发生勒索事件时，紧急对所有文件被加密的终端PC进行隔离

2.对所有文件被加密的终端进行重装（解密不了，只能重装）

3.联网前取消对所有终端的文件共享，并用杀毒软件进行深度查杀，联网后下载其他杀毒软件进行交叉验证查杀

4.排查所有主机看有没有开启远程登录3389端口，如果有进行关闭

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：照夜清安全 照夜清安全cc《简单勒索病毒网络安全应急响应》