前 言
勒索病毒威胁已经成为当前最受的网络安全风险之一。而结合信息窃取和泄露的二 次勒索模式,使得勒索病毒的危害进一步加深。针对个人、企业、政府机关、各类机构的攻 击层出不穷,在勒索病毒威胁面前,没有人能够置身事外。在勒索病毒处置中,如能及时正 确处置,可有效降低勒索病毒带来的损失,避免病毒影响进一步扩散。360 反病毒部是国内 最早开始追踪勒索病毒的团队,提供的反勒索服务已累计为超万例勒索病毒救援求助提供帮 助,我们将通过本文对勒索病毒的常规处置方法、解密方法、安全加固方案和其它一些常见 问题进行解答,希望以此为企事业单位和广大网民提供帮助。 360 反病毒部是 360 政企安全集团的核心能力支持部门,由一批常年在网络安全一线进 行对抗防御的专家组成,负责流行病毒木马的监测、防御、处置和新安全威胁研究。维护着 360 高级主动防御系统、360 反勒索服务等基础安全服务,并为用户提供了横向渗透防护、 无文件攻击防护、软件劫持防护、挖矿木马防护等多项防护功能,保护广大网民上网安全
处置篇
发现被感染勒索病毒之后,第一时间的正确处置能有效降低勒索病毒带来的损失,避免病毒影响进一步扩散,更快找到解决方案。对于企业而言,往往是多台设备同时被勒索病毒攻击,且同一内网之中可能还存在其它尚未被感染设备。针对这一情况,为了避免勒索病毒进一步扩散,我们提供以下处理流程方案供参考。一、 阻断勒索病毒进一步扩散 发现中毒机器,首先应先阻断勒索病毒继续加密文件和进一步扩散。有两个可行方案,但无论采取哪个方案,都应在第一时间对中毒机器进行断网处理(关闭网络能阻止勒索病毒在内网横向传播以及攻击者对当前设备的持续控制)。具体方案如下:若发现设备中还有未被加密文件,应及时切断网络并关闭计算机。关闭计算机能及时阻止勒索病毒继续加密文件,且避免再次直接开机。若发现文件均已被加密,可切断网络之后,联系专业技术人员,查看病毒程序是否还在运行。若还在运行,则可尝试抓取内存dump,为后续解密提供帮助。二、 了解攻击具体情况(一) 了解受影响情况包括:
哪些机器受到攻击,影响情况如何,是否存在备份,备份是否可用。 哪些机器未受到攻击,是否可暂时隔离下线处理等。 机器感染勒索病毒的开始时间。 网络拓扑情况,中招机器和未中招机器在网络中的分布情况等。 存储有敏感信息的设备是否被异常访问,是否存在数据泄露风险。对企业信息资产的全面排查,是避免由于慌乱出现遗漏,为后续工作埋下隐患。此处需要结合企业自身设备情况进行灵活排查。对于中招情况不明,已经关闭下线的机器,如需排查损失情况,建议对磁盘或环境做备份后,在隔离网内开机或上线查看,以免有残存的开机自启动病毒再次启动后加密文件。另外需要主要的是,管理员通过远程登录到被感染设备查看情况时,一定不要将本地磁盘映射过去。因为勒索病毒可能还在运行,映射过去会导致该磁盘文件被加密。(二) 了解中招勒索病毒情况 可以通过以下方面来了解所感染勒索病毒情况:1. 病毒留下的勒索信息
2. 被病毒加密的文件
3. 被加密后的桌面背景
4. 发现的可疑样本
5. 弹窗信息
在准备完成上述文件之后,可以通过360勒索病毒搜索引擎查询所中勒索病毒情况。更多操作可参见解密篇
注:勒索病毒的特征信息是经常会改变的,紧靠一些文件名和弹窗信息无法绝对准确判断勒索病毒种类,最终勒索病毒的认定还需要通过分析提取到的病毒样本确定。
(三) 黑客攻击方式排查
该信息一般需要专业人员进行排查,以下几个渠道均可与360政企安全相关技术人员取得联系:
在360安全卫士中申请反勒索服务。 360论坛的勒索病毒板块反馈。 360勒索病毒搜索引擎查询结果中提到的勒索病毒救援群。若企业内部有专门的信息安全管理人员,也可尝试自行排查。
以下是2020年受勒索病毒入侵方式占比情况,可供参考
远程桌面
检查 Windows 日志中的安全日志以及防火墙日志等共享设置
检查是否只有共享出去的文件被加密,具体可参考“Q2 勒索病毒是否会在内网中 横向转播?”中的共享自查。激活/破解
检查中招之前是否有下载未知激活工具或者破解软件。僵尸网络
僵尸网络传播勒索病毒之前通常曾在受害感染设备部署过其它病毒木马,可通过使 用杀毒软件进行查杀进行判断。第三方账户
检查是否有软件厂商提供固定密码的账户或安装该软件会新增账户。包括远程桌面、 数据库等涉及到口令的软件。软件漏洞
根据系统环境,针对性进行排查,例如常见被攻击环境 Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。页面挂马
检查中毒之前浏览器的历史访问记录,是否存在可疑网站,特别是访问时出现过页 面跳转网站。钓鱼邮件
检查邮件记录和中毒前一段时间的网址访问记录,检查是否点击过可疑链接或下载、 运行过附件中的程序、脚本等。并注意:熟人邮件或常用网址并不绝对安全,也许排查。U 盘蠕虫
U 盘蠕虫下发勒索病毒之前通常也是长期驻扎在系统中,也会残留一些病毒木马在 系统中,可通过杀毒软件查杀识别。数据库弱口令
检查 sql 日志,Windows 日志中的应用程序日志。主动运行
检查打开程序与文件记录。NAS 弱口令
检查 NAS 日志。VNC 弱口令
检查服务器 VNC 配置排查公司流量情况,以上排查都应该格外非工作时段和海外 ip 的访问情况勒索病毒投递阶段的攻击者,往往是采用多种技术手段相结合进行病毒投递的,需要对 中招环境的各种可能攻击途径都进行排查。由于近年来,窃取数据进行勒索的案例大量增加, 对于企业数据是否失窃或者泄密也应进行排查。三、及时处理未感染设备,避免再次遭遇攻击
a) 口令更换,因无法确定黑客掌握了内部多少机器的口令,同一内网下设备口令均应更换。包括但不 限于涉及远程桌面、mysql、mssql 和 Tomcat 等任何涉及网络登录的口令。
b) 根据排查发现的攻击方式与隐患,及时修补漏洞,短时间内无法修补的,坚决不能再次 上线。
c) 在未完成全部检查前,有机器需要上线的,应关闭文件共享,如果无法关闭的,应该限 制访问权限,内网中可能还有尚未找到的被感染机器,有文件共享的话,共享文件可能 会被加密。
四、 中毒设备处理
中招设备如果要再次投入使用的,应该对安全问题进行一一排查,可参见:安全加固篇 -
