第一章 概述
勒索病毒传播素以传播方式快,目标性强著称,传播方式多见于利用“永恒之蓝”漏洞、爆破、钓鱼邮件等方式传播。同时勒索病毒文件一旦被用户点击打开,进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。所以,加强对常见勒索病毒认知至关重要。由于勒索病毒种类多至上百种,因此特整理了近期流行的勒索病毒种类、特征及常见传播方式,供大家参考了解:
一、勒索病毒主要类型
1.文件加密类勒索病毒:该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难回复文件,该类勒索病毒以WannaCry为代表,自2017年全球大规模爆发以来,引起攻击者广泛模仿;
2.数据窃取类勒索病毒:该类勒索病毒与数据加密类勒索病毒通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金;
3.系统加密类勒索病毒:该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,组织用户访问磁盘,影响用户设备的正常启动和使用,一旦感染同样难以进行数据恢复;
4.屏幕锁定类勒索病毒:该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索病毒信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等,进而勒索赎金,但该类勒索病毒对用户数据进行加密具备数据恢复的可能性。
二、勒索病毒典型传播方式
1.利用安全漏洞传播:攻击者利用弱口令,远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索病毒;
2.利用钓鱼邮件传播:攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件的正文中,通过网络钓鱼邮件传播勒索病毒;
3.利用网站挂马传播:攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,植入勒索病毒;
4.利用移动介质传播:攻击者通过隐藏U盘、移动弄硬盘等移动存储介质缘由文件,创建和移动村镇处介质盘符、图标等相同的快捷方式,移动用户点击,自动运行勒索病毒;
5.利用软件供应链传播:攻击者利用软件供应商与软件用户间的信任关系通过攻击入侵供应商相关服务器设备,利用软件供应链分发,更新等机制,传播勒索病毒;
6.利用远程桌面入侵传播:攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器植入勒索病毒。
三、近期勒索病毒攻击特点:
1.瞄准行业重要信息系统,构建勒索病毒精准攻击链;
2.佯装勒索病毒攻击,掩盖真实攻击意图;
3.针对工控系统专门开发勒索病毒,工业企业面临攻击风险加剧;
4.漏洞利用仍是勒索病毒攻击主要手段;
5.以虚拟化环境作为攻击跳板双向渗透传播勒索病毒;
6.经济利益驱动运作模式升级,初步形成勒索病毒黑产链条。
四、勒索病毒攻击链
勒索病毒的攻击链一般分为四大步:边界突破、病毒投放、加密勒索、横向传播。
1.边界突破:一般攻击者通过RDP爆破、钓鱼邮件、Web漏洞利用、水坑站点等方式实现从外网到内网的传播。(1)RDP爆破因其低成本、并且可以直接获取到主机权限的优势,是攻击者主要利用方式;(2)钓鱼邮件攻击则是攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,进而实施勒索;(3)Web漏洞利用一般是攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞,如果存在,用户正常访问页面时,攻击者利用漏洞将勒索软件下载到用户的主机。
2.病毒投放:成功入侵到内网后,攻击者开始向目标主机下发提权程序、勒索加密密钥等,实现恶意程序安装与C&C通信。
3.加密勒索:攻击者执行加密程序对目标主机的数据进行加密,并进行勒索弹窗提示等,新的窃密勒索模式则在数据加密前将数据上传到攻击者服务器,利用数据泄密风险向受害者施压,从而提高勒索成功率的目的。
4.横向传播:为了扩大战果范围,攻击者往往会利用内网系统漏洞或者RDP端口等进行内外横向扩散,从而实现勒索更多主机的目的。
第二章 如何判断病情
一、文件后缀被篡改
1.电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2.文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。
下面为电脑感染勒索病毒后,几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。
当我们看到上述三个现象的时候,说明服务器已经遭到勒索病毒的攻击,此时,如果我们仓促的进行不正确的处置,反而可能会进一步扩大自己的损失。
所以,请保持冷静不要惊慌失措,现在我们需要做的是如何最大化的减少损失,并阻止黑客继续去攻击其他服务器。具体操作步骤请见下一章。
二、判断当前感染了哪种勒索病毒
当通过自检确认遭受勒索病毒攻击后,可通过搜索引擎进一步获取病毒更多相关信息,进一步确认当前感染勒索病毒类型
勒索病毒搜索引擎支持以下形式的内容输入检出
1)通过文件加密后缀信息搜索
2)通过勒索提示文档名信息搜索
3)通过勒索病毒留下的其它关键字搜索
以下提供几个勒索病毒搜索引擎供大家参考:
http://lesuobingdu.360.cnhttps://guanjia.qq.com/pr/ls/https://lesuo.venuseye.com.cn/https://lesuobingdu.qianxin.com/https://edr.sangfor.com.cn/#/information/ransom_search
第三章 如何进行自救
一、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1) 物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2) 访问控制
① 增加访问控制策略:确认感染终端已关闭135、139、443、445、3389等TCP端口,以及137、138等UDP端口,避免病毒利用端口进行传播。尤其RDP 端口,如无业务需要,建议直接关闭,如有业务需要,也建议通过微隔离等手段进行策略访问控制及封堵。
② 修改登录密码:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(12位)。
处置原理
隔离一方面是防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
(二)开展溯源分析工作
溯源分析流程
1、初步信息收
① 网络拓扑情况
② 系统/终端人员情况
③ 针对事发机器的使用习惯
④ 事发信息系统的运维情况
2、上机操作
① 系统/终端日志提取:Windows系统日志目录为“C:WindowsSystem32winevtLogs”,可以整个打包下来。(整体文件比较大,可进行压缩,直接压缩可能会失败,原因是文件被占用,将Logs目录拷贝到桌面再压缩即可。)
② 业务系统访问、操作、登录等日志提取
③ 病毒样本提取:勒索病毒文件通常都比较新,可以使用everything搜索“*.exe”,按修改时间(或创建时间)排序,通过目录和文件名猜测可能的病毒文件,一般可能性比较大的目录包括:
1) “C:WindowsTemp”
2) “C:Users[user]AppDataLocalTemp”
3) “C:Users[user]Desktop”
4) “C:Users[user]Downloads”
5) “C:Users[user]Pictures”等等
④ 网络状态获取
⑤ 文件加密情况
⑥ 勒索内容表现形式
3、溯源操作
① 日志分析结果
② 网络流量分析
③ 主机安全漏洞排查情况
④ 病毒植入方式分析
⑤ 病毒影响范围与网络拓扑综合判断
⑥ 病毒扩散的方向-有外网入侵或内网相互传播
⑦ 初步给出入侵时间线、可以IP、其他可以判断攻击者的数据
⑧ 封堵源头:通过对主机日志、安全产品日志的详细排查,定位入侵来源,还原攻击过程,尽快对攻击入口进行封堵。一般来说通过文件修改时间,确定各个主机之间的先后感染顺序,一般情况下,最开始被感染的主机,即内网入侵点之所在。
4、其他情况
① 主机故障,如无法开机
② 日志缺失
③ 在未取证完毕的情况下受感染服务器重装系统
二、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U 盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
大部分勒索病毒的基本加密过程为:
1)将保存在磁盘上的文件读取到内存中;
2)在内存中对文件进行加密;
3)将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
第四章 如何恢复系统
一、历史备份还原
如果事前已经对文件进行了备份,那么我们将不会再担忧和烦恼。可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。
注意:在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
二、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过安全厂商提供的解密工具恢复感染文件。
1、勒索病毒的设计编码存在漏洞或并未正确实现加密算法
2、勒索病毒的制造者主动发布了密钥或主密钥。
3、执法机构查获带有密钥的服务器,并进行了分享。
注意:使用解密工具之前,务必要备份加密的文件,防止解密不成功导致无法恢复数据。
安全公司提供免费的勒索病毒解密工具下载链接如下:
https://habo.qq.com/tool/indexhttp://bbs.huorong.cn/forum-55-1.htmlhttp://it.rising.com.cn/fanglesuo/index.htmlhttps://id-ransomware.malwarehunterteam.com/https://noransom.kaspersky.com/https://www.avast.com/zh-cn/ransomware-decryption-toolshttps://www.emsisoft.com/ransomware-decryption-tools/free-download、https://github.com/jiansiting/Decryption-Tools
三、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
第五章 如何加强防护
一、边界防护
1、部署流量监控、阻断类设备、软件、邮件网关、邮件沙箱,用于发现钓鱼邮件、水坑站点等正在发生的威胁,便于事中阻断和事后回溯;
2、在网络边界、路由器、防火墙上设置严格的访问控制策略,保证网络的动态安全;
3、存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,关闭不要的服务端口;
二、主机防护
1、部署EDR、HIDS、防病毒系统,便于检测和阻止恶意程序、操作指令、数据泄露等恶意行为;
2、及时对操作系统、设备、防病毒以及软件进行打补丁和更新;
3、关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期;
三、加密勒索应急
1、制定备份与恢复计划,最好能将备份文件离线存储到独立设备;
2、重要数据可按数据备份三二一原则来指导实施
(1)至少准备三份:重要数据备份两份
(2)两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等
(3)一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。
四、预防横向传播
1、零信任有望成为勒索攻击有效解决途径。零信任采用多因子用户验证,即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果;
2、全面排查:
(1)检查登录密码是否存在不符合策略规范的弱密码;
(2)检查是否开启高风险服务、端口:212223258013513944344533063389;
(3)检查机器防火墙是否开启:不影响正常业务的情况下建议开启防火墙;
(4)检查机器ipc空连接及默认共享是否开启(建议关闭);
(5)检查机器是否关闭“自动播放”功能,方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置---管理模板---系统---“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭;
(6)检查机器软件、补丁安装情况,是否存在漏洞。
附录
一、近几年勒索病毒相关信息
二、引用
https://guanjia.qq.com/news/n1/2441.htmlhttps://www.sohu.com/a/486668419_104421
原文始发于微信公众号(A9 Team):勒索病毒应急响应手册
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论