爲幫助更多(duō)的(de)組織單位有效應對(duì)勒索病毒威脅,信服君本期将分(fēn)享勒索病毒急救措施,幫助組織單位進行快(kuài)速應急響應。
判斷是否感染勒索病毒
由于勒索病毒主要目的(de)是勒索,攻擊者在目标主機完成數據加密後,一般會提示受害者支付贖金。因此,勒索病毒有明(míng)顯區(qū)别于一般病毒的(de)典型特征,可(kě)以通(tōng)過以下(xià)特征來(lái)判斷是否感染勒索病毒。
電腦(nǎo)桌面出現勒索信息文件
主機被感染勒索病毒後,最明(míng)顯的(de)特征是電腦(nǎo)桌面或者文件目錄下(xià)通(tōng)常會出現新的(de)文本文件或網頁文件,這(zhè)些文件用(yòng)來(lái)說明(míng)如何解密的(de)信息,同時(shí)顯示勒索提示信息及解密聯系方式。爲了(le)更加明(míng)顯的(de)提示受害者勒索信息,部分(fēn)家族甚至直接修改電腦(nǎo)桌面背景。
以下(xià)是部分(fēn)流行勒索病毒的(de)勒索信息:
文件被篡改
主機被感染勒索病毒後,另一個(gè)明(míng)顯的(de)特征是主機上很多(duō)文件後綴名被篡改,導緻文檔、照(zhào)片、視頻(pín)等文件變成不可(kě)打開的(de)形式。一般情況下(xià),文件後綴名會被修改成勒索病毒家族的(de)名稱或者勒索病毒家族的(de)代表标志,比如Phobos常用(yòng)的(de)加密後綴有:.dewar、.devil、.Devos、.eight、.eking等;Hospit在針對(duì)醫療行業進行攻擊時(shí),使用(yòng)的(de)加密後綴爲.guanhospit,針對(duì)制造業發動攻擊,使用(yòng)的(de)加密後綴爲.builder;GlobeImposter的(de)相關後綴就超過兩百五十種,“十二生肖”系列、“十二主神”系列、“C*H”系列變種都曾在國内引起軒然大(dà)波。
業務訪問異常
主機被感染病毒後,由于業務系統文件被篡改,或者病毒在主機上調用(yòng)系統程序異常,都可(kě)能導緻主機業務系統訪問異常,甚至業務癱瘓的(de)現象。比如早期部分(fēn)Wannacry變種永恒漏洞利用(yòng)失敗導緻srv.sys驅動異常出現主機藍屏現象。
勒索病毒急救響應措施
基礎急救措施
針對(duì)小型單位或者沒有能力進行病毒溯源的(de)組織,在勒索病毒響應方面,最先考慮的(de)考慮是盡快(kuài)切斷病毒在内網的(de)傳播感染。
1.斷網隔離
第一時(shí)間将所有感染主機進行網絡隔離,可(kě)采用(yòng)深信服的(de)一鍵全局隔離方案,或采取拔網線的(de)物(wù)理(lǐ)方式,這(zhè)樣是防止勒索病毒在内網進一步傳播感染,避免組織造成二次損失最直接的(de)方式。至于其它未中招的(de)主機,建議(yì)根據災情實際情況,選擇是否隔離網絡。理(lǐ)論上來(lái)講,如果災情嚴重,建議(yì)所有主機都隔離網絡,待應急結束,加固完成後,再放通(tōng)網絡。
2.端口隔離
進一步關閉135、139、443、445、3389等TCP端口,以及137、138等UDP端口,避免病毒利用(yòng)端口進行傳播。尤其RDP端口,如無業務需要,建議(yì)直接關閉,如有業務需要,也(yě)建議(yì)通(tōng)過微隔離等手段進行策略訪問控制及封堵。
3.病毒查殺
确保病毒不會在内網橫向擴散後,借用(yòng)病毒查殺工具進行病毒全盤掃描,找到病毒文件進行隔離查殺處置。如主機核心系統文件被加密,則進行系統重裝。
4.加固防範
爲避免下(xià)一次感染,對(duì)網絡進行加固升級防護措施。包括:
及時(shí)對(duì)操作系統、設備、以及軟件進行打補丁和(hé)更新;
确保安全設備及安全軟件等升級到最新版本,包括網絡上的(de)反病毒、入侵防護系統、以及反惡意軟件工具等;
做(zuò)好網絡安全隔離,将網絡隔離到安全區(qū),确保某個(gè)區(qū)域的(de)感染不會輕易擴散到其他(tā)區(qū)域;
建立并實施自帶設備安全策略,檢查并隔離不符合安全标準(沒有安裝反惡意軟件、反病毒文件過期、操作系統需要關鍵性補丁等)的(de)設備;
建立并實施權限與特權制度,使無權限用(yòng)戶無法訪問到關鍵應用(yòng)程序、數據、或服務;
制定備份與恢複計劃,最好能将備份文件離線存儲到獨立設備。
完善急救措施
針對(duì)大(dà)型單位或者有溯源需求的(de)組織,在急救過程需要注意保留現場(chǎng),避免給後續做(zuò)防禦加固、解密恢複帶來(lái)困難。
1.梳理(lǐ)資産,确認災情
盡快(kuài)判斷影(yǐng)響面,有利于後續工作開展及資源投入,确認感染數量、感染終端業務歸屬、感染家族等詳情。梳理(lǐ)的(de)表格可(kě)參考如下(xià):
2、保留現場(chǎng),斷開網絡
盡快(kuài)斷網,降低影(yǐng)響面,保留現場(chǎng),不要輕易重啓或破壞(若發現主機還(hái)沒完成加密的(de)情況,可(kě)以即刻斷電,交給專業安全人(rén)員(yuán)處理(lǐ)),避免給後續溯源分(fēn)析、解密恢複帶來(lái)困難。
3、确認訴求,聚焦重點
确認訴求,是勒索病毒應急響應的(de)核心。
受害組織必須明(míng)确核心訴求,比如數據解密、加固防禦、入侵分(fēn)析(溯源取證)、樣本分(fēn)析、企業内網安全狀況評估等,應急響應人(rén)員(yuán)則根據核心訴求,按照(zhào)緊急程度依次開展工作。
4、樣本提取,數據收集
提取系統日志:将C:WindowsSystem32winevtLogs目錄拷貝一份到桌面,然後在桌面上将其壓縮爲以感染主機命名的(de)壓縮包,例如:192.168.1.1-windows-log.zip
提取加密文件:選取若幹文件較小的(de)被加密文件,留作後面解密嘗試,以及用(yòng)于判斷勒索病毒家族。
使用(yòng)everything文件檢索工具,搜索被加密文件,比如文件加密後綴爲“Ares666”,那麽就搜索“*.Ares666”,按修改時(shí)間排序,觀察是否有新的(de)被加密文件,如果正在産生新加密文件,立刻關機,關機後可(kě)将磁盤進行刻錄用(yòng)來(lái)分(fēn)析;如果已經停止加密,則繼續進行後續步驟。
Windows系統日志目錄爲“C:WindowsSystem32winevtLogs”,可(kě)以整個(gè)打包下(xià)來(lái)。(整體文件比較大(dà),可(kě)進行壓縮,直接壓縮可(kě)能會失敗,原因是文件被占用(yòng),将Logs目錄拷貝到桌面再壓縮即可(kě)。)
被加密的(de)文件不是病毒樣本,因此可(kě)把完整的(de)加密後綴、勒索文本/彈窗(chuāng)一起保存或截圖保存,如果截圖則截圖要完整和(hé)清晰。
勒索病毒文件通(tōng)常都比較新,可(kě)以使用(yòng)everything搜索“*.exe”,按修改時(shí)間(或創建時(shí)間)排序,通(tōng)過目錄和(hé)文件名猜測可(kě)能的(de)病毒文件,一般可(kě)能性比較大(dà)的(de)目錄包括:
“C:WindowsTemp”
“C:Users[user]AppDataLocalTemp”
“C:Users[user]Desktop”
“C:Users[user]Downloads”
“C:Users[user]Pictures”等等。
5、判斷家族,嘗試解密
通(tōng)過深信服EDR官網根據勒索信息文件和(hé)加密後綴進行家族搜索,從而确認病毒家族,EDR官網網址如下(xià):
https://edr.sangfor.com.cn/#/information/ransom_search
如果該病毒家族有解密工具,可(kě)直接進行下(xià)載,注意需要将原加密數據備份後再進行解密,謹防損壞後永久性丢失數據。
6、溯源取證,封堵源頭
通(tōng)過對(duì)主機日志、安全産品日志的(de)詳細排查,定位入侵來(lái)源,還(hái)原攻擊過程,盡快(kuài)對(duì)攻擊入口進行封堵。一般來(lái)說通(tōng)過文件修改時(shí)間,确定各個(gè)主機之間的(de)先後感染順序,一般情況下(xià),最開始被感染的(de)主機,即内網入侵點之所在。
7、加固防禦,以絕後患
加固防禦,也(yě)是勒索病毒應急響應的(de)重要組成部分(fēn),是防止二次傷害,二次中招的(de)關鍵步驟,主要的(de)加固和(hé)防禦方向如:避免弱口令,避免多(duō)個(gè)系統使用(yòng)同一口令;漏洞管理(lǐ),定期漏掃,及時(shí)打補丁,修複漏洞;安裝殺毒軟件,定期殺毒;數據備份,對(duì)重要的(de)數據文件定期進行非本地備份;安全意識宣傳,包括不使用(yòng)不明(míng)來(lái)曆的(de)U盤、移動硬盤等存儲設備、不要點擊來(lái)源不明(míng)的(de)郵件以及附件、不接入公共網絡也(yě)不允許内部網絡接入來(lái)曆不明(míng)外網PC等等。
7*24小時(shí)服務熱(rè)線:010-62522552
