勒索软件攻击识别及发现

如何判断服务器或者个人主机感染勒索病毒呢？勒索病毒区别于其他病毒的明显特征：加密受害者主机的文档和数据，然后对受害者实施勒索，从中非法谋取私利。勒索病毒的收益极高，所以大家才称之为”勒索病毒”。勒索病毒的主要目的既然是为了勒索，那么黑客在植入病毒完成加密后，必然会提示受害者的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。可以通过下面的一些办法来确认是否被勒索病毒攻击。

1.1检查异常文件扩展名  

    检查文件系统中是否出现了不寻常的文件扩展名，比如常见文件扩展名被修改为陌生的扩展名。寻找加密型勒索软件常用的特定扩展名，例如。

.locky：Locky勒索软件后缀。

.crypt：部分勒索软件会使用”.crypt”作为加密后的文件扩展名。

.CrySiS：CrySiS勒索软件扩展名。

.cryptolocker：CryptoLocker勒索软件扩展名。

.wallet：Dharma勒索软件扩展名。

.cerber：Cerber勒索软件后缀

.zepto：Zepto勒索软件后缀。    

.thor：Thor勒索软件扩展名。

.odin：Odin勒索软件文件扩展名。

.lockyv1：Locky的另一个变体新扩展名。

.zepto：Zepto勒索软件后缀。

.arena：Arena勒索软件扩展名。

.grapn：GlobeImposter勒索软件文件扩展名。

.ACCDFISA：Accdfisa勒索软件后缀。

.locked：Locked勒索软件扩展名。

.encrypTile：EncrypTile勒索软件扩展名。

.mole：Mole勒索软件后缀

1.2检查文件生存的时间   

   对于正常工作文件的生成时间往往不会大规模接近，比如电脑里面所有文件的时间基本都是同一天几个小时内。查看修改日期，如果修改日期基本是同一天，基本可以肯定是被勒索病毒攻击了。

   

1.3发现勒索信息  

   对于勒索软件攻击，通常会在受感染的计算机中留下文本文件或弹窗，要求支付赎金以获取解密密钥。这些文本文件通常会包含犯罪分子的联系方式和指示，告诉受害者如何支付赎金，并承诺提供解密密钥。弹窗可能会在计算机屏幕上弹出警告信息，要求受害者赎回被加密的文件。

1.4电脑桌面被篡改同时文件无法访问  

   个人计算机或者服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。用户无法打开或访问文件，并显示了错误信息或加密提示。

1.5不明进程  

  监视操作系统进程，寻找不明进程的存在，这可能是勒索软件的运行进程。

1.Windows下排除不名进程

（1）使用任务管理器

在Windows系统中，打开任务管理器（Ctrl+Shift+Esc），查看正在运行的进程列表，浏览进程列表，注意查看进程名称、描述和所属用户等信息。注意查找不熟悉的进程名称或者具有奇怪描述的进程。    

（2）使用系统监控工具

可以使用第三方系统监控工具如Process Explorer等来查看更详细的进程信息，这些工具可以帮助你分析进程之间的关系，查看进程的启动路径等信息。

（3）检查启动项

检查系统的启动项，查看是否有启动时会自动运行的不明进程或程序。在Windows系统中，可以在任务管理器的”启动”选项卡中查看启动项

2.Linux下检查不明进程

（1）使用命令行工具

打开终端窗口，使用命令ps aux查看当前运行的所有进程。可以结合grep命令过滤特定的进程信息，比如ps aux|grep<关键词>。

（2）查看启动项和服务

使用命令systemctl list-units --type=service查看系统中正在运行的服务。

使用命令ls /etc/init.d/查看系统的启动脚本。

（3）检查定时任务

使用命令crontab -l查看当前用户的定时任务列表。

检查/etc/cron.d/、/etc/cron.daily/、/etc/cron.hourly/等目录下的定时任务设置。    

（4）使用安全工具

可以使用像rkhunter、chkrootkit这样的安全工具对系统进行扫描，以侦测可能的恶意进程或后门程序。

（5）查看日志文件

查看系统日志文件/var/log/messages、/var/log/syslog等，以了解系统活动和可能的异常情况。

（6）网络连接监控

使用命令netstat -tulnp查看系统上当前的网络连接及监听端口，以确认是否有不明进程建立网络连接。

（7）审查系统文件

审查系统重要文件的完整性，比如使用md5sum或sha256sum命令计算文件的哈希值，检查是否被篡改。

1.6业务系统无法访问  

    2018 年以来，勒索病毒的攻击不再局限于加密核心业务文件；转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营；甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因，一旦遭到勒索攻击的直接后果就是生产线停产。比如：2018年2月，某三甲医院遭遇勒索病毒，全院所有的医疗系统均无法正常使用，正常就医秩序受到严重影响；同年8月，台积电在台湾北、中、南三处重要生产基地，均因勒索病毒入侵导致生产停摆。但是，当业务系统出现无法访问、生产线停产等现象时，并不能100%确定是服务器感染了勒索病毒，也有可能是遭到DDoS攻击或是中了其他病毒等原因所致，所以，还需要结合前面的现象来确认。    

    勒索病毒一般有更改后缀名、无法打开文件、txt或者html提醒支付赎金、更改桌面背景等特征，当有以上现象时，说明个人主机或者服务器已经遭到勒索病毒的攻击，此时，如果我们仓促的进行不正确的处置，反而可能会进一步扩大自己的损失。所以，请保持冷静不要惊慌失措，现在需要做的是如何最大化的减少损失，并阻止黑客继续去攻击其他服务器或者网络中的主机。    

原文始发于微信公众号（小兵搞安全）：勒索软件攻击识别及发现