勒索病毒应急响应指南

1.勒索病毒的攻击特点

无 C2 服务器加密：

攻击者在对文件加密的过程中，一般不再使用 C2 服务器，也就是说现在的勒索病毒在加密时不需要回传私钥

1. 在加密前随机生成新的加密密钥对（非对称公、私钥）；
2. 使用新生成的公钥对文件进行加密；
3. 采用攻击者预埋的公钥把新生成的私钥进行加密，保存在一个 ID 文件中或嵌入加密文件。

无 C2 服务器加密技术的解密过程：

1. 通过邮件或在线提交的方法，提交 ID 串或加密文件中的加密私钥（一般攻击者会提供工具提取该私钥）；
2. 攻击者使用保留的与预埋公钥对应的私钥解密受害者提交过来的私钥；
3. 把解密私钥或解密工具交付给受害者进行解密