工作日咨詢熱線:010-62637760
15801595535(網(wǎng)絡(luò)安全咨詢)
18612292326(技術(shù)支持與服務(wù))
地址:北京市海淀區(qū)上地十街1號輝煌國際大廈5號樓1313室
為幫助更多的組織單位有效應(yīng)對勒索病毒威脅,信服君本期將分享勒索病毒急救措施,幫助組織單位進行快速應(yīng)急響應(yīng)。
由于勒索病毒主要目的是勒索,攻擊者在目標(biāo)主機完成數(shù)據(jù)加密后,一般會提示受害者支付贖金。因此,勒索病毒有明顯區(qū)別于一般病毒的典型特征,可以通過以下特征來判斷是否感染勒索病毒。
電腦桌面出現(xiàn)勒索信息文件
主機被感染勒索病毒后,最明顯的特征是電腦桌面或者文件目錄下通常會出現(xiàn)新的文本文件或網(wǎng)頁文件,這些文件用來說明如何解密的信息,同時顯示勒索提示信息及解密聯(lián)系方式。為了更加明顯的提示受害者勒索信息,部分家族甚至直接修改電腦桌面背景。
以下是部分流行勒索病毒的勒索信息:
<< 滑動查看更多 >>
主機被感染勒索病毒后,另一個明顯的特征是主機上很多文件后綴名被篡改,導(dǎo)致文檔、照片、視頻等文件變成不可打開的形式。一般情況下,文件后綴名會被修改成勒索病毒家族的名稱或者勒索病毒家族的代表標(biāo)志,比如Phobos常用的加密后綴有:.dewar、.devil、.Devos、.eight、.eking等;Hospit在針對醫(yī)療行業(yè)進行攻擊時,使用的加密后綴為.guanhospit,針對制造業(yè)發(fā)動攻擊,使用的加密后綴為.builder;GlobeImposter的相關(guān)后綴就超過兩百五十種,“十二生肖”系列、“十二主神”系列、“C*H”系列變種都曾在國內(nèi)引起軒然大波。
主機被感染病毒后,由于業(yè)務(wù)系統(tǒng)文件被篡改,或者病毒在主機上調(diào)用系統(tǒng)程序異常,都可能導(dǎo)致主機業(yè)務(wù)系統(tǒng)訪問異常,甚至業(yè)務(wù)癱瘓的現(xiàn)象。比如早期部分Wannacry變種永恒漏洞利用失敗導(dǎo)致srv.sys驅(qū)動異常出現(xiàn)主機藍(lán)屏現(xiàn)象。
針對小型單位或者沒有能力進行病毒溯源的組織,在勒索病毒響應(yīng)方面,最先考慮的考慮是盡快切斷病毒在內(nèi)網(wǎng)的傳播感染。
1.斷網(wǎng)隔離
第一時間將所有感染主機進行網(wǎng)絡(luò)隔離,可采用深信服的一鍵全局隔離方案,或采取拔網(wǎng)線的物理方式,這樣是防止勒索病毒在內(nèi)網(wǎng)進一步傳播感染,避免組織造成二次損失最直接的方式。至于其它未中招的主機,建議根據(jù)災(zāi)情實際情況,選擇是否隔離網(wǎng)絡(luò)。理論上來講,如果災(zāi)情嚴(yán)重,建議所有主機都隔離網(wǎng)絡(luò),待應(yīng)急結(jié)束,加固完成后,再放通網(wǎng)絡(luò)。
2.端口隔離
進一步關(guān)閉135、139、443、445、3389等TCP端口,以及137、138等UDP端口,避免病毒利用端口進行傳播。尤其RDP端口,如無業(yè)務(wù)需要,建議直接關(guān)閉,如有業(yè)務(wù)需要,也建議通過微隔離等手段進行策略訪問控制及封堵。
3.病毒查殺
確保病毒不會在內(nèi)網(wǎng)橫向擴散后,借用病毒查殺工具進行病毒全盤掃描,找到病毒文件進行隔離查殺處置。如主機核心系統(tǒng)文件被加密,則進行系統(tǒng)重裝。
4.加固防范
為避免下一次感染,對網(wǎng)絡(luò)進行加固升級防護措施。包括:
及時對操作系統(tǒng)、設(shè)備、以及軟件進行打補丁和更新;
確保安全設(shè)備及安全軟件等升級到最新版本,包括網(wǎng)絡(luò)上的反病毒、入侵防護系統(tǒng)、以及反惡意軟件工具等;
做好網(wǎng)絡(luò)安全隔離,將網(wǎng)絡(luò)隔離到安全區(qū),確保某個區(qū)域的感染不會輕易擴散到其他區(qū)域;
建立并實施自帶設(shè)備安全策略,檢查并隔離不符合安全標(biāo)準(zhǔn)(沒有安裝反惡意軟件、反病毒文件過期、操作系統(tǒng)需要關(guān)鍵性補丁等)的設(shè)備;
建立并實施權(quán)限與特權(quán)制度,使無權(quán)限用戶無法訪問到關(guān)鍵應(yīng)用程序、數(shù)據(jù)、或服務(wù);
制定備份與恢復(fù)計劃,最好能將備份文件離線存儲到獨立設(shè)備。
針對大型單位或者有溯源需求的組織,在急救過程需要注意保留現(xiàn)場,避免給后續(xù)做防御加固、解密恢復(fù)帶來困難。
1.梳理資產(chǎn),確認(rèn)災(zāi)情
盡快判斷影響面,有利于后續(xù)工作開展及資源投入,確認(rèn)感染數(shù)量、感染終端業(yè)務(wù)歸屬、感染家族等詳情。梳理的表格可參考如下:
2、保留現(xiàn)場,斷開網(wǎng)絡(luò)
盡快斷網(wǎng),降低影響面,保留現(xiàn)場,不要輕易重啟或破壞(若發(fā)現(xiàn)主機還沒完成加密的情況,可以即刻斷電,交給專業(yè)安全人員處理),避免給后續(xù)溯源分析、解密恢復(fù)帶來困難。
3、確認(rèn)訴求,聚焦重點
確認(rèn)訴求,是勒索病毒應(yīng)急響應(yīng)的核心。
受害組織必須明確核心訴求,比如數(shù)據(jù)解密、加固防御、入侵分析(溯源取證)、樣本分析、企業(yè)內(nèi)網(wǎng)安全狀況評估等,應(yīng)急響應(yīng)人員則根據(jù)核心訴求,按照緊急程度依次開展工作。
4、樣本提取,數(shù)據(jù)收集
提取系統(tǒng)日志:將C:WindowsSystem32winevtLogs目錄拷貝一份到桌面,然后在桌面上將其壓縮為以感染主機命名的壓縮包,例如:192.168.1.1-windows-log.zip
提取加密文件:選取若干文件較小的被加密文件,留作后面解密嘗試,以及用于判斷勒索病毒家族。
使用everything文件檢索工具,搜索被加密文件,比如文件加密后綴為“Ares666”,那么就搜索“*.Ares666”,按修改時間排序,觀察是否有新的被加密文件,如果正在產(chǎn)生新加密文件,立刻關(guān)機,關(guān)機后可將磁盤進行刻錄用來分析;如果已經(jīng)停止加密,則繼續(xù)進行后續(xù)步驟。
Windows系統(tǒng)日志目錄為“C:WindowsSystem32winevtLogs”,可以整個打包下來。(整體文件比較大,可進行壓縮,直接壓縮可能會失敗,原因是文件被占用,將Logs目錄拷貝到桌面再壓縮即可。)
被加密的文件不是病毒樣本,因此可把完整的加密后綴、勒索文本/彈窗一起保存或截圖保存,如果截圖則截圖要完整和清晰。
勒索病毒文件通常都比較新,可以使用everything搜索“*.exe”,按修改時間(或創(chuàng)建時間)排序,通過目錄和文件名猜測可能的病毒文件,一般可能性比較大的目錄包括:
“C:WindowsTemp”
“C:Users[user]AppDataLocalTemp”
“C:Users[user]Desktop”
“C:Users[user]Downloads”
“C:Users[user]Pictures”等等。
5、判斷家族,嘗試解密
通過深信服EDR官網(wǎng)根據(jù)勒索信息文件和加密后綴進行家族搜索,從而確認(rèn)病毒家族,EDR官網(wǎng)網(wǎng)址如下:
https://edr.sangfor.com.cn/#/information/ransom_search
如果該病毒家族有解密工具,可直接進行下載,注意需要將原加密數(shù)據(jù)備份后再進行解密,謹(jǐn)防損壞后永久性丟失數(shù)據(jù)。
6、溯源取證,封堵源頭
通過對主機日志、安全產(chǎn)品日志的詳細(xì)排查,定位入侵來源,還原攻擊過程,盡快對攻擊入口進行封堵。一般來說通過文件修改時間,確定各個主機之間的先后感染順序,一般情況下,最開始被感染的主機,即內(nèi)網(wǎng)入侵點之所在。
7、加固防御,以絕后患
加固防御,也是勒索病毒應(yīng)急響應(yīng)的重要組成部分,是防止二次傷害,二次中招的關(guān)鍵步驟,主要的加固和防御方向如:避免弱口令,避免多個系統(tǒng)使用同一口令;漏洞管理,定期漏掃,及時打補丁,修復(fù)漏洞;安裝殺毒軟件,定期殺毒;數(shù)據(jù)備份,對重要的數(shù)據(jù)文件定期進行非本地備份;安全意識宣傳,包括不使用不明來歷的U盤、移動硬盤等存儲設(shè)備、不要點擊來源不明的郵件以及附件、不接入公共網(wǎng)絡(luò)也不允許內(nèi)部網(wǎng)絡(luò)接入來歷不明外網(wǎng)PC等等。