勒索病毒应急处置分享

一、 常见的勒索病毒

什么是勒索病毒？

勒索病毒在感染主机之后，会在主机上运行勒索程序，遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取。然后生成勒索通知，要求受害者在规定时间内支付一定价值的比特币才能恢复数据，否则会被销毁数据。比较有名就是17年5月份的wannacry了。比较有名的还有globelmposter，gradcrab等等。

wannacry

globelmposter

二、 勒索病毒的主要传播方式

1.    蠕虫传播

勒索病毒利用系统漏洞（如：ms17-010）进行攻击，病毒利用系统漏洞传播。典型例子：wannacry，satan。

如图：手动利用永恒之蓝漏洞上传勒索病毒并且执行。

2.    口令爆破

攻击者对服务器进行RDP，SSH，SMB爆破等方式获取系统用户密码，然后远程投放执行勒索病毒。目前大部分勒索病毒主要是通过此种方式进行传播。典型例子：globelmposter，crysis。

3.    钓鱼邮件

攻击者通过给受害者发送钓鱼邮件，通过隐藏邮件附件的后缀名等方式，诱骗收件人下载点击伪装成正常文件的勒索病毒进行攻击，也是勒索病毒主要的传播方式之一。典型例子：GandCrab。

三、 处置流程

在应急响应方面，有一个比较成熟PDCERF模型：

1.    PreParation准备：是安全事件响应的第一个阶段，指在事件真正发生前为事件响应做好准备。比如提前做好系统备份，提前做好ACL。也指在安全事件发生时所需要收集的一些信息（系统类型，病毒类型，问题现象等）。

2.    Detection诊断：对系统的问题进行诊断，判断出病毒的类型和攻击方式。

3.    Containment抑制：也可以说是阻断，避免事件进一步升级。

4.    Eradication根除：封堵攻击者的源头，判断黑客攻击者的攻击方式，利用了什么漏洞，在服务器中做了什么。

5.    Recovery恢复和跟踪：对业务进行恢复，和对服务器进行监控，编写应急报告。

6.    Follow跟踪：回顾并整合应急响应事件过程的相关信息，给出整改措施并且持续跟踪。

针对勒索病毒的应急，我们的排查也可以基于以上这个模型，当然中了勒索病毒还是比较特殊的，第一时间还是先对所有中毒主机进行断网处理。

四、准备与诊断阶段

在这个阶段我们主要做一些信息收集方面的一些准备工作，收集的内容主要有：服务器的系统信息，中毒现象，勒索的提示页面，文件的加密后缀，中毒的服务器范围，是否是关键生产业务，是否有备份，日志是否完整，服务器区域之间是否有ACL或者安全设备等。收集服务器信息有助于我们了解服务器可能存在哪些漏洞可能被勒索病毒利用。

1.    systeminfo命令收集服务器的补丁信息：

举例：如果server2008服务器或者win7电脑没有安装kb4012212这个补丁，那么就有可能受到利用恒之蓝漏洞传播的病毒攻击。

2.    收集服务器勒索提示信息，每个勒索病毒家族都会有自己独特的勒索提示页面，这个经验丰富的人一眼就可以看出这个勒索提示页面大概是什么家族，新手也可以去比对网上的一些公开资料，在了解了勒索病毒家族之后我们就可以去找对应的病毒分析资料，了解其传播方式，方便我们后续的预防和溯源。

这里推荐一个文章链接，上面有近期热门的勒索病毒介绍：

https://mp.weixin.qq.com/s/jiFd1oDm481v15pdezov_A

globelmposter

3.    收集文件加密后缀以及文件加密时间。利用文件加密后缀可以帮助我们查找勒索病毒的家族，收集文件的最近加密时间，我们可以判断出服务器的中毒时间，有助于我们的进一步溯源。

勒索病毒后缀查询：

https://id-ransomware.malwarehunterteam.com/

https://edr.sangfor.com.cn/#/information/ransom_search

五、抑制阶段

前面说了中了勒索病毒第一时间是断网，在我们了解了勒索病毒的家族和传播方式之后我们可以进一步的处置。如会用MS17-010漏洞进行传播的，我们可以封堵445端口进行抑制并打补丁，如果是RDP暴力破解的，及时限制远程端口的使用。

我们还需要检查中毒主机上是否存在残留的勒索病毒，可以使用一些杀毒工具对主机进行全盘查杀。这里我们需要对发现的所有病毒进行核查，有的勒索病毒是进行过免杀处理，扫描出来很有可能是个低危的文件，我们就放过了。

这个显示是个中危，实际上是globelmposter最新变种。

发现的可疑文件可以放到沙箱里面去跑一下，可以看到存在勒索行为。常用的沙箱有：微步，腾讯哈珀等。

如果有必要还可以检查windows 的启动项，可以参考我上一篇关于挖矿病毒的文章，这里就不再赘述了。

六、 溯源分析与跟踪阶段

1. 这里我们主要针对的是RDP，SMB相关的日志进行分析，如果病毒通过漏洞利用方式传播，那很有可能没有对应的日志，这就需要借助态势感知或者IDS设备进行分析了。

2. 使用everything工具，查询勒索病毒后缀，确定加密时间。我这里直接查询的是勒索病毒的提示页面生成时间，也可以确定主机受攻击的时间。

      3. 导出操作系统日志到本地，进行分析，查找中毒时间段内有什么IP登录中毒主机。是否存在rdp、smb暴力破解行为。当然应用日志我们也可以收收集，有时候应用的错误日志我们也是可以通过日志排查，如：ms sql服务。

控制台输入：eventver打开日志中心。

大部分勒索病毒是用RDP登录方式投放的，然而有时候安全日志可能被黑客删除了，我们还可以从以下方面快速找到攻击跳板机：

应用程序和服务日志 ->Microsoft -> Windows -> TerminalServices-RemoteConnectionManager再选中Operational，查看事件ID号1149，就能看到所有RDP登陆过当前主机的IP

根据中毒时间对RDP登录日志进行匹配，就可以找出黑客的IP，如果内网多台主机中毒，记录好中毒时间匹配的RDP登录IP，就可以还原出攻击者的攻击路径。

七、总结和恢复

对勒索病毒事件进行总结汇报，给出加固建议。如果系统存在备份则恢复备份，如果没有备份则重新部署业务。

八、跟踪阶段

对勒索病毒的处置结果进行跟踪，对发现的问题进行及时整改，对内网终端进行全网检查，查找是否有遗漏的中毒主机，防止反复中毒。

九、勒索病毒的预防

个人总结了一下几点：

1． 弱口令：避免弱口令，避免多个系统使用同一口令

2． 应用服务   

终端：关闭Windows共享服务、远程桌面控制等不必要的服务   

网络：防火墙做好应用控制，关闭互联网访问。梳理端口映射，尽量避免在公网映射远程端口。

4.    漏洞管理：定期漏扫及时打补丁，修复漏洞

5.    杀毒软件：安装企业级统一杀毒软件

6. 数据备份：对重要的数据文件定期进行非本地备份

7. 安全意识宣传   

原文始发于微信公众号（菜鸟小新）：勒索病毒应急处置分享