勒索病毒处置

一、观察勒索病毒

登录系统，发现桌面背景提示    

初步可以判断，系统已经中了勒索病毒

尝试用记事本，打开桌面的文本文档

双击记事本    

发现文件被加密，是乱码    

确定中了勒索病毒

二、查看桌面提示关键字

通过桌面背景发现加密关键字

ENCRYPTED BY GANDCRAB 5.0.3

三、了解GRANCRAB勒索病毒    

通常各大安全厂商有勒索病毒专区，如国际厂商kaspersky、bitdefender、avast、symantec，国内厂商Sangfor、360等

如Avast的

https://www.avast.com/zh-cn/ransomware-decryption-tools

如深信服的

http://edr.sangfor.com.cn/#/information/ransom_search    

这里我们使用深信服的页面 搜索该病毒名

查看报告，该报告为5.2版本的病毒原理介绍

同学可以自行查看

四、尝试使用工具解密病毒

尝试去寻找不同的厂商的解密工具

在bitdefender寻找解密工具

在avast页面找到gandcrab的标签    

下载软件

这里有很多不同版本的解密工具，为避免下载问题，实验环境中已经内置好解密工具。学员也可以自行尝试下载不同工具，尝试解密。

打开文件夹C:USERSdownload2

双击运行软件BDGandCrabDecryptTool

同意许可

确定提示    

选择要解密的文件夹，这里以桌面为例    

开始解密          

解密完成

再次查看桌面的记事本，已经解密成功。

接下就是备份解密后的文件，重装系统，安装补丁等操作

长按二维码识别关注

原文始发于微信公众号（零漏安全）：勒索病毒处置