勒索病毒防御方法+线上应急工具箱大全

一、勒索病毒加密原理

简单来说勒索病毒就是使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财和赎金。用户数据资产包括：文档、邮件、数据库、源代码、图片、压缩文件等。赎金形式包括真实货币、比特币或其它虚拟货币。

勒索病毒作者会设定一个支付时限，有时赎金数目会随着时间的推移而上涨。有时即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。总的来说，勒索病毒是劫持数据以索求赎金的一类恶意软件，会导致重要数据损坏、财产损失和信息泄露等严重危害。

首先病毒制作者A基于某种加密算法，在自己电脑上生成私钥A和公钥A；然后在目标电脑B（也就是被植入了勒索病毒的电脑）上随机生成私钥B和公钥B；接着用公钥B把目标电脑B的文件进行加密，同时用公钥A加密私钥B；最后删除目标电脑B上的私钥B、公钥A以及数据。

等被勒索的用户B支付完赎金后，病毒制作者可以通过自己手上的私钥A解出私钥B，再用私钥B来解密用户的数据。中了勒索病毒就像有人用一个非常非常复杂的锁，把你的房子锁上了。能解开这个锁的钥匙掌握在上锁的黑客手里，你是没有的，而且以你现在的开锁技术，也没办法在零损失的前提下强行把这个锁破开。

二、未雨绸缪，防范未然

1、首先我们可以开启Windows防火墙，并关闭445、135、137、138、139端口双向流量，关闭网络共享功能。 步骤如下：

• 「控制面板」>「Windows防火墙」>「打开或关闭Windows防火墙」>「启用Windows防火墙」

    

• 在「Windows防火墙」的「高级设置」中新建「入站规则」，「规则类型」选择「端口」

    

• 规则应用于「TCP」，「特定本地端口」填入「135,137-139,445」

    

• 选择「阻止连接」操作

    

• 将规则应用于「域」、「专用」、「公用」，并设置规则名称即可。出站规则依此类推。

• 停止网络共享服务，在命令行中属于以下命令，禁用并停止Windows共享相关服务

        sc configBrowser start= disabled

        sc stopBrowser

        sc configLanmanServer start= disabled

       scstop LanmanServer

       

    

2、如果有部署安全设备要尽可能及时保持更新，例如山石网科防火墙AV及IPS特征库升级至最新版本，同时设置阻断策略。

IPS 规则设置方法：

「对象」>「入侵防御」>「模板」，点击「新建」，规则如下：

   

设置完毕在策略中绑定设置的IPS规则。

AV 设置方法：

在策略中启用病毒过滤，模板选择预定义的「predef_high」即可。

为了保证IPS和AV规则的工作，除了升级IPS和AV库至最新版本外，建议升级设备的应用特征库至最新版本，同时检查目的安全域的应用识别功能为「启用」状态。查看方式如下：

「网络」>「安全域」，选中对应的目的安全域，点击“编辑”：

        

 

3、不点击不明广告和链接，屏蔽和阻拦弹窗广告。

4、尽量不要安装盗版破解软件！大部分的盗版软件都带有后门或木马，所以一定要安装和使用可信来源的应用服务。

5、不要轻易插上他人的U盘等外设。启动恶意U盘等外设会造成病毒的植入。

6、及时更新系统和打补丁，包括中间件、数据库都一样，所有的勒索病毒都会利用漏洞进行攻击。

7、对重要数据做好备份；服务器有快照功能的，及时做快照和快照更新。

8、不轻易点击陌生邮件。在恶意邮件中往往包括恶意的附件，如果必须查看，应该先进行病毒查杀。

9、目前网络上的杀毒和解密工具仅仅针对已知的病毒，所以必须提高自身的安全意识，事前防御更为重要！必要时可报警寻求警察的帮助！

三、判断中毒的情形

可以通过这些情况来判断电脑是否中了勒索病毒：服务器、数据库无法正常运作，比如服务器无法登录；访问服务器、数据库出现勒索提示信息，比如连接服务器或数据库时出现索要赎金信息；电脑文件名被修改，添加后缀名，比如在文件名后添加随机字符。

如果确定自己电脑中了勒索病毒，那么根据被加密文件的后缀名和勒索信息，我们就可以在网络上搜索到自己中的是哪一种病毒。但目前来说，大部分的勒索病毒基本是无解的，有两种情况：

1、主要针对数据库服务的勒索病毒，这种非加密方式，它会删除数据，然后插入条含有勒索信息的记录。这种叫做欺骗式勒索。也就是说，即使你按黑客要求交了赎金，你的数据会瞬间被删除，再也没办法恢复了。因为这类勒索病毒都是批量入侵的，如果把成千上万入侵的数据都打包备份存储好，他们就得需要庞大的服务器来支撑，这对攻击成本来说，是大大的不利。

2、另外一种是真的把文件加密的形式，Wecanhelp就归属这种了，这种勒索病毒从加密原理来看，没有私钥的情况下基本是无解。

四、可解密的情况

1、勒索病毒作者主动公开私钥，比如著名勒索病毒Petya作者可能是为了跟横扫欧洲的变种Petrwrap划清关系(该变种影响严重，可能是怕被牵连)公开了私钥；

2、勒索病毒自身存在漏洞被破解的情况，比如说Gryphon就是由于加密算法存在漏洞而被暴力破解，或者勒索病毒本身就带有解密算法或私钥；

3、网上也可能有各种可以解密的方法，不排除有欺骗行为，有的虽然能解密，但只能恢复部分数据。建议大家选择安全厂商提供发布的工具。

五、线上应急工具

1、腾讯勒索病毒搜索引擎：https://guanjia.qq.com/pr/ls/

2、VenusEye勒索病毒搜索引擎：https://lesuo.venuseye.com.cn/

3、卡巴斯基免费勒索解密器：https://noransom.kaspersky.com/

4、腾讯哈勃勒索软件专杀工具：https://habo.qq.com/tool/index

5、火绒勒索病毒解密工具集：http://bbs.huorong.cn/thread-65355-1-1.html

6、瑞星解密工具下载：http://it.rising.com.cn/fanglesuo/index.html

7、nomoreransom勒索软件解密工具集：https://www.nomoreransom.org/zh/index.html

五、勒索病毒人工处理服务

您可以通过邮件方式类型我们：[email protected]，为了能够更快速的定位问题，需提供以下信息：

1.安全事件的主体，如：单位名称、地址、接口人姓名、电话。
2.安全事件发生的时间、被攻击的物理位置、相关IP。
3.能够对安全事件进行一个简单的现象描述。
4.提供安全事件所涉及到的应用系统及其他IT资产，并可简单预估损失范围。
5.如有现象的截图、照片或事件日志、安全设备日志信息也一起提供。

6.恶意程序样本请打包，压缩包加密码提交。

山石网科计算机紧急响应团队 HillStone Computer Emergency Response Team，简称HSCERT，是山石安研院下属部门，负责对各类计算机病毒木马等恶意程序进行应急处理和特征提取工作，同时兼反病毒技术培训和预警发布。

本文始发于微信公众号（山石网科安全技术研究院）：勒索病毒防御方法+线上应急工具箱大全