人手必备！勒索病毒应急自救手册( 二 ) _勒索病毒

（3）Recent 是系统文件夹，里面存放着最近使用的文档的快捷方式，查看用户 recent 相关文件，通过分析最近打开分析可疑文件：
【开始】?【运行】?【%UserProfile%Recent】
（4）查看文件时间，创建时间、修改时间、访问时间，黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。
2. 进程排查
（1）netstat -ano 查看目前的网络连接，定位可疑的 ESTABLISHED ，例如

文章插图

（2）根据 netstat 定位出的 pid ，再通过 tasklist 命令进行进程定位，例如

文章插图

（3）根据 wmic process 获取进程的全路径 [任务管理器也可以定位到进程路径]

文章插图

3. 系统信息排查
（1）查看环境变量的设置
排查内容：temp 变量的所在位置的内容；后缀映射 PATHEXT 是否包含有非windows 的后缀；有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查) 。
（2）Windows 计划任务
排查可疑的windows计划任务。
（3）Windows 帐号信息，如隐藏帐号等
【开始】?【运行】?【compmgmt.msc】?【本地用户和组】?【用户】排查可疑的用户信息 (用户名以$结尾的为隐藏用户，如：admin$)
（4）查看当前系统用户的会话
使用? query user 查看当前系统的会话，比如查看到有人使用远程终端登录服务器，可使用logoff 踢出该用户；
（5）查看 systeminfo 信息，系统版本以及补丁信息，及时打补丁
五、勒索病毒预防措施

勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施，以尽可能避免损失：
（1）安装杀毒和安全防护软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易放行；定期进行全盘杀毒。
（2）开启系统自动更新功能或使用安全软件的第三方打补丁功能对系统进行漏洞管理，第一时间给操作系统和常用软件打好补丁，定期更新病毒库，以免病毒利用漏洞自动入侵电脑。
（3）密码一定要使用强口令，并且不同账号使用不同密码。
（4）重要文档数据应经常做备份。
（5）若长时间离开电脑随手关机。
（6）尽量不要启用文件共享功能和远程桌面功能。
（7）不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。

【人手必备！勒索病毒应急自救手册】