【行业话题】勒索病毒事件应急操作手册

应急处理流程图

1.1 现场访谈

1.1.1 了解勒索病毒事件表现

1. 文件被加密

2. 设备无法正常启动

3. 定时删除文件

4. 勒索信息展示

5. 桌面有新的文本文件并记录加密信息及解密联系方式。

1.1.2 了解勒索病毒事件发现时间

1. 文件加密时间

2. 设备无法正常启动的时间

3. 新的文本文件的出现时间

1.1.3 了解系统架构，如服务器类型、业务架构、网络拓扑等

1.2 判断安全事件状态

根据访谈结果，判断是否误报

1. 是否有勒索信息展示

2. 文件是否被加密

3. 设备是否无法正常运行

1.3 确认勒索病毒对象

了解勒索病毒的对象以及内容,统计失陷主机：

被感染文件特征：

1. 操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息及

解密联系方式；

2. 被加密的文件类型：

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .o

ds, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, . 

lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .l

df, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, . 

java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, . 

3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw

, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PA

Q, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, . 

dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, . 

potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw,

.xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

3. 加密后的文件后缀：

.WNCRYT，.lock，.pre_alpha，.aes，.aes_ni，.xdata，.aes_ni_0day，.pr0tect，.[stops

[email protected]].java，文件后缀无变化。

4. 还可以借用在线查询查看对应的勒索病毒类型

https://lesuobingdu.qianxin.com/

https://lesuobingdu.360.cn/

1.4 确认勒索病毒时间

确定勒索病毒对象感染的时间，从而梳理出事件的发生时间。

被感染文件：

Linux

执行命令 stat[空格]文件名，包括三个时间 access tim（e 访问时间）、modify time

（内容修改时间）、change time（属性改变时间），如：

stat /etc/passwd

Windows

右键查看文件属性，查看文件时间

1.5 问题排查

根据事件时间、传播方式进行问题的排查。

1.5.1 Windows 系统排查

1.5.1.1 文件排查

1. 检查桌面及各个盘符根目录下是否存在异常文件。根据文件夹内文件列表

时间进行排序，查找可疑文件；

2. 查看文件时间，创建时间、修改时间、访问时间。对应 linux 的 ctime mtime

atime，通过对文件右键属性即可看到详细的时间（也可以通过 dir /tc 1.aspx 来查

看创建时间）；

3. 使用 systeminfo 命令查看系统补丁情况；

4. 使用 net user 查看系统账户情况，或者通过计算机—右键—管理—本地用

户和组；

5. 借助天擎等杀毒软件查看是否存在异常文件。

1.5.1.2 进程排查

1. 检查是否存在异常进程。使用 netstat -ano 查看目前的网络连接，查看是否

存在可疑 ip、端口、进程；

2. 使用 tasklist 命令查看可疑进程；

3. 检查是否存在异常计划任务；

4. 检测 CPU、内存、网络使用率；（通过资源管理器查看）

5. 注册表项检测。

1.5.1.3 日志排查

查看事件管理器：

系统日志：查看是否有异常操作，如创建计划任务、关机、重启；

安全日志：查看是否有异常的登录行为；

应用日志：查看应用是否有异常程序运行；

开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”。

审核登录事件，双击，设置为成功和失败都审核：

 审核策略更改；

 审核登录事件；

 审核对象访问；

 审核进程跟踪；

 审核目录服务访问；

 审核特权使用；

 审核系统事件；

 审核账户登录事件；

 审核账户管理；

1.5.2 Linux 系统排查

1.5.2.1 文件排查

1. 查看桌面是否存在异常文件。针对可疑文件可以使用 stat 进行创建修改时

间、访问时间的详细查看，若修改时间距离事件日期接近，有线性关联，说明可能被篡改或者其他；

2. 查找 777 的权限的文件 find/ *.jsp -perm 4777 ；

3. 查找隐藏的文件（以 "."开头的具有隐藏属性的文件 ls –al）；

4. 查看 CPU、内存、网络使用率；

5. find / -uid 0 -print：查找特权用户文件；

6. md5sum -b filename：查看文件的 md5 值；

7. rpm -qf /bin/ls：检查文件的完整性（还有其它/bin 目录下的文件）；

8. crontab -u root -l：查看 root 用户的计划任务；

9. cat /etc/crontab 查看计划任务；

10. 查看分析 history (cat /root/.bash_history)，曾经的命令操作痕迹；

11. cat /etc/passwd 分析可疑帐号，可登录帐号。

1.5.2.2 进程排查

1. 使用 netstat 网络连接命令，分析可疑端口、可疑 IP、可疑 PID 及程序进

程；

2. 使用 ps 命令，分析进程

ps -aux：查看进程

lsof -p pid：查看进程所打开的端口及文件

检测隐藏进程：

ps -ef | awk '{print }' | sort -n | uniq >1

ls /proc | sort -n |uniq >2

diff 1 2

1.5.2.3 日志排查

1. 使用 lastlog 命令，系统中所有用户最近一次登录信息；

2. 使用 lastb 命令，用于显示用户错误的登录列表；

3. 使用 last 命令，用于显示用户最近登录信息（数据源为/var/log/wtmp，

var/log/btmp）；

4. utmp 文件中保存的是当前正在本系统中的用户的信息；

5. wtmp 文件中保存的是登录过本系统的用户的信息；

6. 查看 cron.log 中是否有计划任务信息。

1.5.3 网络流量排查

1. 有全流量的记录设备（如天眼）；

2． 分析内网是否针对 445 端口的扫描和 MS17-010 漏洞的利用；

3. 分析溯源被勒索终端被入侵的过程；

4. 分析邮件附件 MD5 值匹配奇安信威胁情报中心的数据判定是否为勒索

病毒；

5. 分析在网络中传播的文件是否被二次打包、进行植入式攻击；

6. 分析在正常网页中植入木马，让访问者在浏览网页时利用 IE 或 Flash 等

软件漏洞的攻击。

1.6问题消除

1.病毒清理及加固：

 安装天擎或其他工具，对被感染机器进行安全扫描和病毒查杀；

 对系统进行补丁更新，封堵病毒传播途径；

 制定严格的口令策略，避免弱口令；

 结合备份的网站日志对网站应用进行全面代码审计，找出攻击者利用

的漏洞入口进行封堵；

 配合全流量设备（如天眼或其他工具）对全网中存在的威胁进行分析，排查问题；

2.感染文件恢复：

 通过奇安信或其他工具提供的解密工具恢复感染文件；

 支付赎金进行文件恢复。

来源网络信息安全知识库微信公众号，如有不妥，请联系删除！

END

安徽信科共创信息安全测评有限公司成立于2015年，是经公安部第三研究所批准成立的专业网络安全等级测评与检测评估机构，持有经国家密码管理局核准颁发的全国首批商用密码检测机构商用密码应用安全性评估资质，是全国76家具备密评与等保双栖资质的机构之一。

信科长期致力于网络安全检测评估领域的开拓与研究，为客户提供专业商用密码应用安全性评估、等级测评、风险评估、软件测试、安全加固、安全运维、安全咨询、安全培训、安全预警、安全监测、应急支撑、渗透测试、代码安全审计、系统安全上线测试服务、网站监测等系列安全服务。在为党政机关、教育、医疗卫生、金融、能源、国企、科技公司等关系国计民生的重点行业客户提供全方位的网络安全服务的同时，积极为公安、网信、通管、经信、保密、密码等行业主管单位提供技术支撑。

依托先进的安全理念，雄厚的技术力量以及丰富的项目经验，信科现已拥有一支由密码学教授及博士领军的具备深厚专业技能背景和行业经验的复合型网络安全人才队伍，已通过国际领域信息安全管理体系认证（ISO27001）和IT服务管理体系认证（ISO20000），拥有CMA体系认证、省级高新技术企业、CCRC体系认证、ITSS、ISO体系认证等专业资质。

原文始发于微信公众号（信科共创检测认证）：【行业话题】勒索病毒事件应急操作手册