个人理解，大佬就别喷了，了解一下就可以了，真正遇到这些问题的时候，有时候也不一定能够解决，最终都有可能回归到重装系统上面。

包括说什么装杀毒软件、打补丁、升级系统，这些都应该是再事件发生前做的工作，而不是发生后做的工作，如果这些工作在事件发生前就做好的话，大概率也不会被这些病毒感染。

挖矿病毒是一种利用计算机算力来帮助交易达成共识从而赚取奖励的病毒。随着比特币的出现，挖矿这种赚钱方式慢慢流行起来，而挖矿病毒就是黑客利用个人电脑的漏洞，盗取电脑计算力来挖矿获得收益的病毒。

挖矿病毒是一段代码或者一个软件，伪装成一个正常文件进入受害者的电脑。病毒利用主机或者操作系统的高危漏洞，并结合高级攻击技术在局域网内传播，控制电脑进行大量的计算机运算来获取虚拟货币。挖矿病毒会消耗大量的计算机处理资源，使得电脑经常十分卡顿，重启后也无法解决，电脑上没有打开软件，但CPU使用率几乎到达100%，电脑温度升高，风扇噪声增大。

利用漏洞：利用操作系统或主机的高危漏洞进行传播。

弱口令攻击：利用用户设置的弱口令进行攻击。

文件传播：伪装成正常文件，通过邮件附件、QQ文件、捆绑软件安装包等被用户下载到电脑。

网络资源传播：伪装成火爆新闻、色情内容、隐私资料、诈骗技巧、破解软件、网络资源等文件，通过网页挂马等方式被用户访问并下载到电脑。

资源占用：挖矿病毒会大量占用计算机的CPU和内存资源，导致计算机运行缓慢，甚至出现死机、崩溃等问题。

网络带宽占用：挖矿病毒会大量占用计算机的网络带宽，导致网络连接变慢，甚至断线。

数据安全威胁：挖矿病毒可能会窃取计算机中的敏感数据，如用户密码、个人文件等，从而对用户的数据安全造成威胁。

恶意软件传播：挖矿病毒可能会与恶意软件结合，通过感染其他计算机进行传播，从而扩大其危害范围。

系统崩溃：挖矿病毒可能会对计算机的系统造成破坏，导致计算机无法正常启动或运行。

及时更新系统和软件，保持最新的安全补丁。

使用复杂且不易被猜测的密码，定期更换密码。

限制不必要的网络共享和访问权限，避免病毒传播。

安装杀毒软件，定期进行全盘扫描和病毒查杀。

挖矿病毒可以通过些情报中心可以查询到该挖矿病毒的一些处理方式，以及一些解决办法，通常来说挖矿病毒更多的情况下是利用计算机的性能计算而去挖矿，主要是用于挖矿，而不是去搞破坏，甚至部分挖矿病毒还能够针对其它啊挖矿病毒进行拦截，例如你主机上存在一个挖矿病毒A，结果你又感染一个挖矿病毒B，那么病毒B可能会自动去删除病毒A，来确保自己的独立性，不过也有可能是病毒A会去自动拦截病毒B，这些都是有可能的，也不排除并存。

深信服情报中心：：：：：：⼼：：：：：：：

勒索病毒是一种恶意软件，它通过加密文件、威胁删除文件等方式，迫使受害者支付一定的赎金以解密文件或恢复数据。这种恶意软件通常是通过电子邮件、社交媒体等渠道传播，并要求受害者支付一定数额的赎金。

勒索病毒是一种严重的网络安全威胁，它可以通过多种方式传播，包括电子邮件、社交媒体、网络钓鱼等。它会对受害者的数据和隐私造成严重破坏，并可能导致严重的财务损失。

文件共享：使用共享文件夹或共享文件系统，可以轻松地传播勒索病毒。

电子邮件：通过电子邮件传播勒索病毒是一种常见的手段。

社交媒体：社交媒体平台也可以成为传播勒索病毒的途径。

恶意软件：许多恶意软件都可能包含勒索病毒，这些恶意软件可以通过各种途径传播。

互联网漏洞：许多互联网漏洞都可能成为传播勒索病毒的途径。

破坏数据和隐私：勒索病毒会窃取用户的个人信息和敏感数据，并可能将这些数据泄露给第三方。这可能导致严重的隐私泄露和数据安全问题。

威胁企业安全：勒索病毒可以感染企业的计算机系统，破坏其数据备份、恢复和安全系统，导致业务中断和生产效率下降。

破坏个人财务安全：勒索病毒可以威胁用户的财务安全，迫使他们支付赎金以恢复被窃取的数据或解密被加密的文件。这可能导致经济损失和财务困境。

破坏社会信任：勒索病毒的传播可能导致公众对网络环境的信任下降，加剧对网络安全的担忧和恐慌。

加密数据：勒索病毒会对系统中所有的文件或图片进行加密，索要赎金。

安装安全防护软件并保持防护开启状态。

及时安装系统漏洞补丁。

使用复杂且不易被猜测的密码，并定期更换密码。

做好数据备份。

这里只是列举一些勒索病毒，并不齐全，遇到勒索病毒还是需要寻找专业的人员进行排查，但是基本上如果遇到勒索病毒，基本上是很难解密的，只能重装系统。

WannaCry：WannaCry是一种非常著名的勒索病毒，于2017年爆发并影响了全球范围内的系统。它使用RSA-2048加密算法对文件进行加密，并要求受害者支付赎金以获得解密密钥。

Petya：Petya勒索病毒于2016年爆发，它与WannaCry类似，但使用了不同的加密算法和传播方式。Petya主要通过感染Windows系统的MasterBootRecord(MBR)来传播，并要求受害者支付赎金以恢复系统。

Cryptolocker：Cryptolocker是一种非常流行的勒索病毒，它使用AES-256加密算法对文件进行加密，并要求受害者支付赎金以获得解密密钥。它通常通过感染电子邮件附件和恶意网站进行传播。

Crysis：Crysis勒索病毒于2018年爆发，它使用RSA+AES加密算法对文件进行加密，并主要通过RDP爆破的方式进行植入。CrySiS还不断出现新的变种，其加密后缀也不断变化。

GandCrab：GandCrab是一种非常流行的勒索病毒，它使用RSA-2048加密算法对文件进行加密，并主要通过恶意软件、色情网站、盗版软件等渠道进行传播。

globeimposter：次出现于2017年，通过垃圾邮件、远程桌面协议（RDP）暴力破解（以下简称“RDP暴力破解”）和恶意软件等方式进行传播。为了提高加密速度，GlobeImposter使用了对称加密算法AES加密文件，并使用本地生成的RSA公钥，将AES算法的密钥加密。其开发者也在黑客论坛中开启了RaaS（勒索即服务）模式。GlobeImposter勒索软件家族已经出现了许多变种版本，包括十二主神系列和十二生肖系列等版本

MedusaLocker：是一种勒索病毒家族，用户系统一旦被感染，就可能被要求支付赎金以恢复数据。该病毒具有一些独特的功能，它不仅会感染本地计算机，而且还会通过网络进行扩散，对其他主机进行加密。为了最大程度地在受感染机器上成功加密文件，并且保证用户能够支付赎金，MedusaLocker勒索病毒不会对可执行文件进行加密。其使用AES和RSA-2048的组合，使得加密的文件解密变成不太可能。

Magniber：是一种利用IE漏洞的无文件勒索病毒，它此前对众多韩国用户造成严重损害。如果相关安全部门无法在漏洞发生初期发现并加以阻断，则很难防止其进一步感染，这使得安全软件难以检测。Magniber勒索软件自2021年3月15日以来使用CVE-2021-26411漏洞进行分发，直到最近被发现改为CVE-2021-40444漏洞。

Tellyouthepass：勒索病毒主要通过某OA系统框架的Log4j2漏洞以及某企业管理软件反序列化漏洞进行入侵攻击，在5月7日-9日持续发起批量攻击。Tellyouthepass勒索病毒最早出现于2020年7月，因其使用RSA+AES的方式对受害服务器文件进行加密，目前该勒索家族暂无公开的解密工具，加密后数据无法直接解密，用户将面临高额的勒索赎金和业务影响。

Burn：勒索病毒在2019年8月首次在国内出现，被发现该勒索病毒主要通过爆破远程桌面，拿到密码后进行手动投毒。同时在受害者机器上发现大量工具。从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。

Crysis：勒索病毒从2016年开始具有勒索活动，加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀，例：id-编号.[gracey1c6rwhite@].bip，其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器。

勒索病毒更多的时候是以勒索为主，通过缴纳赎金来进行解密，但是往往勒索病毒是很难解密的，可以说百分之90以上的勒索病毒都是无法解密的，除了制作方主动交出密钥，否则很难解密，你用这个方式来进行获取利益，怎能让你轻易的解开呢？网上确实有很多公开的解密工具，但是多数都是无法解密的，就算存在解密方式，也有可能是存在部分人手里。

并且Linux系统相较于Windows系统更为的安全，同时上面也提到过，使用Linux系统的更多的是服务器，而服务器中的数据通常是有备份的，所以就算感染就，重装系统恢复一下就可以了…而个人电脑就比较麻烦了…

360：：：：：

腾讯哈勃：：：：：：：

[777Ransom]TrMicroRansomware解密器用来解密777勒索软件加密的文件[AES_NIRansom]Rakhni解密器用来解密AES_NI勒索软件加密的文件[]Rakhni解密器用来解密勒索软件加密的文件[AlcatrazRansom]Alcatraz解密器用来解密Alcatraz勒索软件加密的文件[AlphaRansom]Alphadecrypter解密器用来解密Alpha勒索软件加密的文件[AmnesiaRansom]Amnesia解密器用来解密Amnesia勒索软件加密的文件[Amnesia2Ransom]Amnesia2解密器用来解密Amnesia2勒索软件加密的文件[AnnabelleRansom]BDAnnabelleDecryptTool解密器用来解密Annabelle勒索软件加密的文件[AuraRansom]Rakhni解密器用来解密Aura勒索软件加密的文件[AuroraRansom]AuroraDecryptor解密器用来解密Aurora勒索软件加密的文件[AutoItRansom]Rakhni解密器用来解密AutoIt勒索软件加密的文件[AutoLockyRansom]TrMicroRansomware解密器用来解密AutoLocky勒索软件加密的文件[BTCWareRansom]BTCWare解密器用来解密BTCWare勒索软件加密的文件[BadBlockRansom]TrMicroRansomware解密器用来解密BadBlock勒索软件加密的文件[BarRaxRansom]BarRax解密器用来解密BarRax勒索软件加密的文件[BartRansom]Bart解密器用来解密Bart勒索软件加密的文件[BigBobRossRansom]Bigbobrossfix解密器用来解密BigBobRoss勒索软件加密的文件[BitcryptorRansom]Coinvault解密器用来解密Bitcryptor勒索软件加密的文件[CERBERV1Ransom]TrMicroRansomware解密器用来解密CERBERV1勒索软件加密的文件[ChimeraRansom]Rakhni解密器用来解密Chimera勒索软件加密的文件[CoinvaultRansom]Coinvault解密器用来解密Coinvault勒索软件加密的文件[Cry128Ransom]Cry128解密器用来解密Cry128勒索软件加密的文件[Cry9Ransom]Cry9解密器用来解密Cry9勒索软件加密的文件[CrySISRansom]Rakhni解密器用来解密CrySIS勒索软件加密的文件[CryaklRansom]Rakhni解密器用来解密Cryakl勒索软件加密的文件[CrybolaRansom]Rannoh解密器用来解密Crybola勒索软件加密的文件[Crypt888Ransom]Crypt888解密器用来解密Crypt888勒索软件加密的文件[CryptONRansom]Crypton解密器用来解密CryptON勒索软件加密的文件[CryptXXXV1/2/3/4/5RansomRannoh解密器用来解密CryptXXXV1/2/3/4/5勒索软件加密的文件[CryptoMixRansom]CryptoMix解密器用来解密CryptoMix勒索软件加密的文件[CryptokluchenRansom]Rakhni解密器用来解密Cryptokluchen勒索软件加密的文件[DXXDRansom]TrMicroRansomware解密器用来解密DXXD勒索软件加密的文件[DamageRansom]Damage解密器用来解密Damage勒索软件加密的文件[DemocryRansom]Rakhni解密器用来解密Democry勒索软件加密的文件[DerialockRansom]Derialock解密器用来解密Derialock勒索软件加密的文件[DharmaRansom]Rakhni解密器用来解密Dharma勒索软件加密的文件[EncrypTileRansom]EncrypTile解密器用来解密EncrypTile勒索软件加密的文件[]InsaneCryptDecrypter解密器用来解密勒索软件加密的文件[FenixLockerRansom]FenixLocker解密器用来解密FenixLocker勒索软件加密的文件[FilesLockerv1andv2Ransom]FilesLockerDecrypter解密器用来解密FilesLockerv1andv2勒索软件加密的文件[FuryRansom]Rannoh解密器用来解密Fury勒索软件加密的文件[GandCrab(V1,)Ransom]BDGandCrabDecryptTool解密器用来解密GandCrab(V1,)勒索软件加密的文件[GetCryptRansom]解密器用来解密GetCrypt勒索软件加密的文件[Globe1/2/3Ransom]Globe1/2/3解密器用来解密Globe勒索软件加密的文件[GlobeImposterRansom]GlobeImposter解密器用来解密GlobeImposter勒索软件加密的文件[GomasomRansom]Gomasom解密器用来解密Gomasom勒索软件加密的文件[HKCryptRansom]HKCrypt解密器用来解密HKCrypt勒索软件加密的文件[Globe/PurgeRansom]TrMicroRansomware解密器用来解密Globe/Purge勒索软件加密的文件[HiddenTearRansom]HiddenTear解密器用来解密HiddenTear勒索软件加密的文件[InsaneCryptRansom]InsaneCryptDecrypter解密器用来解密InsaneCrypt勒索软件加密的文件[]解密器用来解密勒索软件加密的文件[JaffRansom]Rakhni解密器用来解密Jaff勒索软件加密的文件[JigsawRansom]Jigsaw解密器用来解密Jigsaw勒索软件加密的文件[LECHIFFRERansom]TrMicroRansomware解密器用来解密LECHIFFRE勒索软件加密的文件[LambdaLockerRansom]LambdaLocker解密器用来解密LambdaLocker勒索软件加密的文件[LamerRansom]Rakhni解密器用来解密Lamer勒索软件加密的文件[]解密器用来解密勒索软件加密的文件[]解密器用来解密勒索软件加密的文件[LortokRansom]Rakhni解密器用来解密Lortok勒索软件加密的文件[MacRansomRansom]MacRansom解密器用来解密MacRansom勒索软件加密的文件[MarlboroRansom]Marlboro解密器用来解密Marlboro勒索软件加密的文件[MarsjokeakaPolyglotRansom]Rannoh解密器用来解密MarsjokeakaPolyglot勒索软件加密的文件[MegaLockerRansom]MegaLocker解密器用来解密MegaLocker勒索软件加密的文件[MerryX-MasRansom]MerryX-Mas解密器用来解密MerryX-Mas勒索软件加密的文件[MirCopRansom]TrMicroRansomware解密器用来解密MirCop勒索软件加密的文件[MoleRansom]Mole解密器用来解密Mole勒索软件加密的文件[NemucodRansom]Nemucod解密器用来解密Nemucod勒索软件加密的文件[NemucodAESRansom]NemucodAES解密器用来解密NemucodAES勒索软件加密的文件[NmoreiraRansom]Nmoreira解密器用来解密Nmoreira勒索软件加密的文件[NoobcryptRansom]Noobcrypt解密器用来解密Noobcrypt勒索软件加密的文件[OzozalockerRansom]Ozozalocker解密器用来解密Ozozalocker勒索软件加密的文件[PHPransomwareRansom]PHPransomware解密器用来解密PHPransomware勒索软件加密的文件[PewcryptRansom]Pewcrypt解密器用来解密Pewcrypt勒索软件加密的文件[PhiladelphiaRansom]Philadelphia解密器用来解密Philadelphia勒索软件加密的文件[PlanetaryRansom]Planetary解密器用来解密Planetary勒索软件加密的文件[PletorRansom]Rakhni解密器用来解密Pletor勒索软件加密的文件[PopcornRansom]Popcorn解密器用来解密Popcorn勒索软件加密的文件[PylockyRansom]pylocky_decryptor解密器用来解密Pylocky勒索软件加密的文件[RakhniRansom]Rakhni解密器用来解密Rakhni勒索软件加密的文件[RannohRansom]Rannoh解密器用来解密Rannoh勒索软件加密的文件[RotorRansom]Rakhni解密器用来解密Rotor勒索软件加密的文件[SNSLockerRansom]TrMicroRansomware解密器用来解密SNSLocker勒索软件加密的文件[ShadeRansom]Shade解密器用来解密Shade勒索软件加密的文件[SimplockerRansom]Simplelocker解密器用来解密Simplocker勒索软件加密的文件[StampadoRansom]Stampado解密器用来解密Stampado勒索软件加密的文件[Teamxrat/XpanRansom]TrMicroRansomware解密器用来解密Teamxrat/Xpan勒索软件加密的文件[TeslaCryptV1/2/3/4Ransom]TeslaDecrypt解密器用来解密TeslaCryptV1/2/3/4勒索软件加密的文件[ThanatosRansom]Thanatos解密器用来解密Thanatos勒索软件加密的文件[TrustezebRansom]解密器用来解密Trustezeb勒索软件加密的文件[WildfireRansom]Wildfire解密器用来解密Wildfire勒索软件加密的文件[XDataRansom]Rakhni解密器用来解密XData勒索软件加密的文件[XORBATRansom]TrMicroRansomware解密器用来解密XORBAT勒索软件加密的文件[XORISTRansom]Xorist解密器用来解密XORIST勒索软件加密的文件[ZQRansom]ZQ解密器用来解密ZQ勒索软件加密的文件

关于这两种病毒处理方式，网上有很多相关的处理方式以及应急的手段，而这里不可能说通过一篇简短的文章就能够了解怎么处理这些问题。

这里大概使用简单的语言说一下吧。

关于挖矿病毒，很多时候，在开始挖矿之前，这些病毒会先对内网进行扫描，不断的扩张，以获取到更多的内网主机实现挖矿。这里我给各位看一下，我这边通过深信服的异常流量检测系统看一下我们内网的情况，这里我们都进行查杀过了，不过可能还存在遗留问题。

这个主机目前已经基本解决了，解决办法就是通过网上的文章来处理的，刚开始看到的时候就莫名其妙的，根本不知道怎么解决，这里我就大概截个图给各位看看，这个病毒的执行过程。

同时这个问题现在的状态就是在连接，目前还在解决，但是，并未执行，CPU、内存等均为占用。

这个文件夹就是病毒的文件夹，已经被清除了，这里为什么还把文件夹留着呢，是由于该病毒会自动再恢复，相当于还是未处理完全，所以创建了一个病毒文件夹将这个文件夹设置成禁止访问，占用病毒释放的权限。

这里处理方式其实就是查看挖矿病毒处置，这里确实，之前的整体的流程的有的，但是一直没真正处理好，结果就是处理一般截图不对被删除，处理处理就没有了，最好发现还没解决，但是没攻击行为了，尴尬了，这里应该保留整体的流程的，小心被追溯…参考下面的文章吧。

挖矿病毒处置

这里提供相关的工具名，然后去下载吧，用法网上有很多，说实话不然火绒剑一个就能解决。

ProcessHacker：：：

确实是找不到样本呀，找了半天找不到样本，然后我不想找了，普通的挖矿木马，都很简单，就是杀毒查杀就欧克了，所以就懒得去演示哪些很简单的样本。

这个我到没再实际的环境中遇到过，前面也说了，遇到勒索病毒，首先你要知道勒索病毒是什么家族的，当然如果是最新的勒索病毒，可能也不好判断，但是如果是历史勒索病毒，那基本还算好查。

这里我就下载一个永恒之蓝勒索病毒吧，运行完就是这个样子的，这里我们假设不知道是属于什么病毒。

这里到奇安信上面查询是能够解密的，同时给了一个下载解密工具的链接，这里我们尝试下载解密工具，然后运行解密，看看能不能成功解密。

我扫描了，然后无法解密，这里也尝试了很多，均无法解密…所以也不想折腾了。

对于挖矿病毒，通常来说很多都是挖了挖矿，并不会对你服务器上的文件造成影响，那么如果能够看到相关文章或者能够处理干净，那最好不过了，如果处理不干净，那么可以直接将重要的文件拷贝出来，直接重新装系统，不要觉得装系统有多丢人，解决不了了，还能仍在那不管吗？

对于勒索病毒，前面也说了，勒索病毒勒索服务器的话，通常有点意识的企业都会再日常做好备份工作，基本上被勒索了，直接恢复即可，至于说没备份，那么一般来说，勒索病毒人家是为了要钱，可能设置一些简单的加密方式吗，多数勒索病毒都是使用复杂的加密方式，包括可以自己去查询，截至目前依旧很多几年前的勒索病毒依旧是无法解决的。

那么如果实在没备份的只能找专业的人处理，通常有这样处理水平的都是一些大型的安全企业，而且可能这种技术都是不会外泄的，人家要靠这个赚钱。