确认感染文件特征及感染时间:
(1) 操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息
及解密联系方式;
(2) 被加密的文件类型:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .d
if, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql,
.accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .
vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .m
peg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .ti
f, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ,
.ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .
wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pp
s, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .doc
m, .docb, .docx, .doc
(3) 加密后的文件后缀:
.WNCRYT,.lock,.pre_alpha,.aes,.aes_ni,.xdata,.aes_ni_0day, .pr0tect,.[stopstorage@qq.com].java,
文件后缀无变化;
(4) 确认感染时间,对被感染文件操作:
Linux 系统:
执行命令 stat[空格]文件名,包括三个时间 access time(访问时间)、modify time(内容修改时间)、
change time(属性改变时间),如:
例:stat /etc/passwd
Windows系统:
例:右键查看文件属性,查看文件时间
2.1.5、临时处置办法
被感染主机:
(1) 立即对被感染主机进行隔离处置,禁用所有有线及无线网卡或直接拔掉
网线,防止感染其他主机;
(2) 禁止在被感染主机上使用 U 盘、移动硬盘等可执行摆渡的设备;
未被感染主机:
(1) 关闭SSH、RDP等协议,并且更改主机密码;
(2) 备份系统重要数据、且文件备份应与主机隔离;
(3) 禁止接入U 盘、移动硬盘等可执行摆渡的设备;