在勒索事后应急中，我们要明确几个时间。1.“失陷时间”，即被勒索主体遭到入侵的时间。2.“武器投递时间”，即攻击者投递工具和加密器落地的时间。3.“加密开始-结束时间”，加密器开始加密和结束加密的时间。4.“其他生成时间”，例如勒索信生成时间、二次加密时间、加密器运行复数运行时间等。

需要区分的是：

1.这几个时间可能会重合，但是代表的意义相互独立。

2.时间可能会出现模糊或者无法对上的情况（“痕迹”模块详说），除非以时间戳为要素的勒索程序，其他以最后一个被加密文件修改时间为准。

如何寻找这些时间：

1.“失陷时间”：防护设备上、失陷主机的系统日志、脆弱应用的应用日志

2.“武器投递时间”：“武器”本身的文件修改时间、系统日志中、终端杀毒程序日志

3.“加密开始-结束时间”：系统日志中、everything搜索第一个和最后一个加密文件时间

4.“其他生成时间”：jumplist对比、everything搜索出现异常时间

勒索事件应急之中，关于这些行为我打算分两个部分说：

1.勒索软件的动作一般有：横移爆破、多目录自我复制、释放并执行加密器、清理痕迹、自删。

图源：https://mp.weixin.qq.com/s/ugETuyHdG6xSRoyKECsn2Q 【病毒分析】Babuk家族babyk勒索病毒分析-solar专业应急团队

2.存在一些勒索团队会投放武器或者安装一些渗透框架，这些都可以在系统日志中找到记录。

图源：https://mp.weixin.qq.com/s/am59F1NfnSRl6QX_Jc2drA 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵-solar专业应急团队

除以上两点一些勒索团队会借助“现成”的平台进行横移

1.堡垒机反复横跳，攻击者利用堡垒机的功能和标识（备注、笔记之类）能更快的寻找到重要资产。【这个图不好贴，见谅

2.超融合、Vcenter等平台，这类平台的第一需求是稳定运行，所以攻击者可以利用历史漏洞去接管，从而找到敏感资产。

图源：https://mp.weixin.qq.com/s/5AMHbhyE4MdW1Ols4KqIGA 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目-solar专业应急团队

3.运维机、外协机，运维机上保存了绝大部分的台账、免密远程连接。外协机主打一个入网时间不稳定，还可能携带病毒。

图源：https://mp.weixin.qq.com/s/5AMHbhyE4MdW1Ols4KqIGA 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目-solar专业应急团队

勒索病毒功能各异，大概分三类：放弃速度啥都锁上，挑挑拣拣只锁重要的，锁了自己要的还做痕清的。这里讨论第二种勒索病毒，还能留下点东西去做溯源和还原路径。

“痕迹”会出现在哪里呢？

1.系统日志中，我指的是全部日志C:WindowsSystem32winevtLogs

2.注册表里的一些条目里

REG_ControlSet001_Services、REG_ControlSet002_Services、 REG_CurrentControlSet_Services

引用自：https://cloud.tencent.com/developer/article/2041596 -全栈程序员站长

REG_MuiCache 该键值记录了运行过什么东西的缓存

REG_RunMRU 保存“开始 * 运行...“中运行的程序列表信息。清除文档菜单时将被清空

图源：https://blog.csdn.net/mathewsking/article/details/3628314 windows注册表详解-mathewsking

3.jumplist条目 记录近期快速跳转的条目

4.ShellExecuteHooks机制

可以在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks读取， ShellExecuteHooks是Windows操作系统中的一个机制，用于扩展和自定义Shell（文件资源管理器）的某些功能。具体来说，ShellExecuteHooks提供了一种方式，允许开发者在Shell执行某些操作时插入自定义的逻辑。例如，当用户在文件资源管理器中双击一个文件或文件夹时，Shell会按照其默认的行为（如打开相应的应用程序）来处理这个操作。但是，如果注册了ShellExecuteHooks，开发者可以在这个过程中插入自定义的行为，比如修改默认的打开行为、添加额外的操作等。

引用：https://zhidao.baidu.com/question/1506370866716273019.html

5.系统日志中的“小众”id

日志ID 7036-Volume Shadow Copy 卷影操作记录

在我多次做勒索应急响应中，最初与最后的卷影操作可以大致确认加密器开始运行的时间。当然你可能会发现存在多个卷影操作，也有一些软件是需要用到的，所以需要结合其他时间去看。

图源：https://mp.weixin.qq.com/s/7EASRz0aSOqcqyYUOk2MOg 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目- solar专业应急响应团队

日志ID 56-TermDD 服务

最开始我是在win的一些可以导致蓝屏的漏洞中见过，并没有引起我的注意，因为那个时候我以为只有蓝屏才会出现。而后在我应急的时候，反复跟对方确认主机没有蓝屏也没有意外断电。这种日志目前还会出现在意外断开的RDP服务中，尽管可能日志缺失，但是这种日志还是会记录下对方的IP地址。下面附上一个实例和微软的解释。

图源：https://mp.weixin.qq.com/s/7EASRz0aSOqcqyYUOk2MOg 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目- solar专业应急响应团队

图源：https://blog.csdn.net/mintazoedeng/article/details/8721497 米兔痴愚

其实还有其他日志ID可以寻找痕迹，比如21,22,1149等，我这里就不全部列举了。

终于来到总结辣！其实还有很多细节没写出来，但是我最近真的很累。

怎么做好勒索事件的“事后谈”（应急响应）呢？

勒索应急响应和普通应急响应不一样，更为难受受限更多，但要记住“地图”与“时间”贯穿整个勒索事件应急响应。

“地图”是指失陷公司/单位的网络拓扑图，做网络拓扑是有学问的，我常常觉得我做拓扑图退步了还不如我网工那会儿呢。拓扑图的几个要素：1.一个图标里应该包含主机名、IP地址（多张网卡就写多个IP）、主机功能。2.图标之间应该流量指向，如何出如何进。3.图标群应该做好标记，例如 办公区、核心区、边界网络等。4.整个拓扑图的走向应该是由左到右、由上至下，这样看得更舒服。

“时间”是指0x10里的时间，我的建议是最好拉表格做对比。第一个表格应该是从“日志”角度出发，主机名-IP-日志-加密时间。第二个表格应该是从文件角度出发，利用everything进行搜索，主机名-IP-everthing图-加密时间。然后将两个表格进行对比，更加精准得去进行定位。

最后就是还原攻击路径，这个就是和普通应急响应一样了。

图源：https://mp.weixin.qq.com/s/5AMHbhyE4MdW1Ols4KqIGA 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目-solar专业应急响应团队

我知道写这个肯定有人会喷，勒索病毒的应急响应其实一听就知道很没劲，包括我自己也这样想。但是我做应急响应和安全运营的，我必须去把整个事件闭环，如果单纯铲掉重装，只会被一次又一次地勒索。你所看不上的，我所写的这些就是我浓缩的经验了。看了nop师傅的应急响应分享师傅，他分享的东西都很实在，我觉得蓝队就应该这样只有多分享经验才能更快响应。这次这个写得其实很一般，很多图都不允许贴出来，讲道理你必须亲身去实践去做去到项目里应急，才知道什么是需要看什么是需要分析的。我希望我的这篇文章能帮到各位师傅，也希望看完有收获的话可以分享出去。