勒索病毒应急响应与自救

一、什么是勒索病毒

  勒索病毒是一种新型多变的电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解，黑客团伙正是以此对用户进行勒索。

近年来持续爆发的以加密数据为主要形式的勒索病毒让企业级用户深受其害。以 WannaCry 为例，其利用 MS17-010 永恒之蓝漏洞进行传播感染，短时间内感染全球 50w+ 用户，包括学校、医疗、政府等各个领域。据华尔街日报报道，WannaCry 至少造成了百亿美元的损失，勒索赎金超过 5000千万美元。

勒索病毒攻击链复杂，防护难度高；攻击链一般分为四大步：突破边界、利用漏洞、横向传播、加密勒索。第一步突破边界，外网到内网的传播；通过钓鱼邮件、WEB漏洞利用、RDP爆破等方式。第二步病毒投放，恶意程序安装；通过下发提权程序、下发加密秘钥、宿主信息提交上传。第三步加密勒索，通过漏洞执行提权程序、数据窃取、执行加密程序、勒索弹窗或直接破坏。第四步横向传播，内网横向持续扩散；通过RDP爆破、蠕虫式传播、系统漏洞式传播。

二、如何判断是否中毒

1.业务系统无法访问：

勒索病毒的攻击不再局限于加密核心业务文件；转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营；甚至还延伸至生产线，生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因，一旦遭到勒索攻击的直接后果就是生产线停产。

2.电脑桌面图标被篡改：

被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化， 即：桌面通常会出现新的文本文件或网页文件， 这些文件用来说明如何解密的信息， 同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。

3.文件后缀被篡改：

服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、 视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会被改成勒索病毒家族的名称或其家族代表标志，如 ：GlobeImposter家族的后缀为.dream、.TRUE、.CHAK 等；Satan 家族的后缀.satan、sicck；Crysis 家族的后缀有.ARROW、.arena 等。下面为电脑感染勒索病毒后，几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。

4.资源占用异常：

病毒会伪装成系统程序，释放攻击包、扫描局域网络445端口等占用大量系统资源，当发现某个疑似系统进程的进程在长期占用CPU或内存有可能是感染病毒。

三、如何紧急处置自救

某台主机在感染勒索病毒后，除了自身会被加密，勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机，所以当发现一台主机已被感染，应尽快采取响应措施，以下基础措施即使不是专业的人员也可以进行操作，以尽可能减少损失。

1.隔离中毒主机：

1） 物理隔离

物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2） 逻辑隔离
访问控制常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或交换机ACL；避免将远程桌面服务（RDP默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过 VPN 登录后才能访问），并关闭 445、139、135 等不必要的端口。修改登录密码的主要操作为：立刻修改被感染服务器的登录密码；其次，修改同一局域网下的其他服务器密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（12位、三种组合以上）。

2. 排查信息系统：

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。

3.联系专业人员：

在应急自救处置后，建议第一时间联系专业技术人员或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查定位，查找根因，并制定防护方案。

四.综合防治建议

面对复杂多种的勒索病毒攻击，依靠传统防护难以应对；通过以边界安全网关类设备为基础构建信息系统安全防护体系，在一定程度上可以预防勒索病毒的攻击，但是勒索病毒依然可以通过钓鱼邮件和漏洞利用等绕过边界防护来感染终端计算机，从而进行勒索活动。若突破或绕过边界防护则满盘皆输，病毒一旦进入内部可通过多种方式快速横向扩散。产品之间无法有效联动，不能从勒索软件的生命周期的原理入手，分析病毒的传播环节并定位所有感染主机。感染勒索病毒根因未找到，无法彻底根除勒索病毒，即使业务系统恢复后，也有可能导致再次感染。建议需做到勒索病毒全生命周期的闭环防御（根据勒索病毒攻击链原理分析，覆盖勒索病毒全生命周期，对预防、防御、检测、响应四个阶段的立体防护）。

 云-网-端-管融合综合防治系统

（详细防护方案后续更新至知识星球）

接地气的防治措施

1、内网划分安全域，通过防火墙或交换机ACL限制内网主机可进行访问的网络、主机范围。有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等端口。

2、开启Windows或Linux系统防火墙，必要时关闭TCP端口135、139、445、3389，UDP端口137、138等高危端口。

3、为终端安装更新安全补丁，例如微软已发布的补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞。

4、系统用户杜绝使用弱密码，应该使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号，至少12个字符，并定期更改密码。

5、主机安装相应的防病毒软件或部署防病毒网关，定期对病毒库进行升级，加强终端上的病毒检测查杀能力。

6、终端禁止或限制U盘等移动存储介质接入使用，减少风险暴露面。

7、个人用户应从正规渠道下载安装软件，慎用各种激活工具；对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。

8、定期组织培训，强化网络安全意识，不明链接不要点击，不明文件不要下载，不明邮件不要打开。

9、定期对核心数据、重要文件进行备份，备份系统需与原系统隔离，分别保存。

10、对于已经感染的终端需立即断网下线隔离处置。

11、定期进行风险评估和应急演练，从技术、管理、运营等多维度出发，持续提升总体防治能力。

天唯科技专注于大型组织信息安全领域及IT基础设施解决方案的规划、建设与持续运维服务。帮助客户提高IT基础设施及信息安全管控水平和安全运营能力，使客户在激烈的市场环境中保持竞争力。

我们一直秉承“精兵强将，专业专注”的发展理念。先后在江门、深圳成立分公司，在武汉、长沙成立办事处以及成立广州的服务支撑中心。公司已获得高新技术企业认证、已通过IS09001、IS027001、CCRC信息安全集成服务、CCRC信息安全风险评估、CCRC信息安全应急处理等认证。

END

原文始发于微信公众号（天唯信息安全）：勒索病毒应急响应与自救