勒索病毒应急响应

知识开发
收藏
0 443
Sunny912
编剧 已认证 2020-09-03 16:34:54
付费话题:0 积分

 

一、           背景

勒索病毒是一种新兴的病毒,其善于伪装,事前难以发现,一旦感染,损失惨重。病毒会对受害者主机的文档和数据进行加密,而后实施勒索,非法牟利,性质恶劣。绝大多数勒索病毒使用的加密算法都为国际公认的标准算法,在加密密钥足够长的情况下,普通PC可能需要十数万年才能够破解,如果没有密钥破解成本极其高昂。黑客在植入病毒完成加密后,必然会提示受害者文件已被加密无法打开,需要支付赎金才能恢复文件,甚至有时交钱也并不能解密。

漏洞攻击是勒索病毒的重灾区,由于win7xp等老旧系统存在大量无法及时修复的漏洞,而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7xp等老旧系统,因此也成为病毒攻击的重点目标,病毒可以通过漏洞在局域网中无限传播。相反,win10系统因为强制更新,几乎不受漏洞攻击的影响。

虽然通过邮件与网页挂马方式的的勒索病毒攻击占比较少,但对于有收发邮件、网页浏览需求的企业而言,依旧会受到威胁。

此外,对于某些特别依赖U盘、记录仪办公的局域网机构用户来说,外设则成为勒索病毒攻击的特殊途径。

二、           场景描述

场景一

1.        某日,某网站管理员打开OA系统,首页访问异常,显示乱码:


2.        ? 登录网站服务器进行排查,在站点目录下发现所有的脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下都有一个!HELP_SOS.hta文件


3.        打开!HELP_SOS.hta文件,显示如下:


到此确认是服务器中了勒索病毒。

场景二

某三甲医院遭遇勒索病毒,电脑桌面被篡改同时办公文档、照片、视频等文件的图标变为不可打开形式,文件后缀名被篡改,全院所有的医疗系统均无法正常使用,正常就医秩序受到严重影响。

三、           判定标准

1.        桌面篡改

遭遇勒索病毒的电脑一般会在明显位置显示勒索信息,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密,同时桌面上显示勒索提示信息及解密联系方式。

下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图:




2.      文件后缀被篡改

另外一个典型特征是:文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream.TRUE.CHAK等;Satan家族的后缀.satansicckCrysis家族的后缀有.ARROW.arena等。

下面为电脑感染勒索病毒后,几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。



四、           处置方案

1.        前期处置:确认是否误报。

2.        物理隔离

拔掉网线,禁用网卡,禁用无线网络WIFI、蓝牙连接等,并拔掉主机上的所有外部存储设备

3.        特征确认:根据特征确认家族:去加密后的磁盘目录找到勒索提示信息,有些勒索提示信息上就有这款勒索病毒的标识,显示是哪一种勒索病毒,如GandCrab的勒索提示信息,最开始都标明了是哪一个版本的GandCrab勒索病毒版本,可以先找勒索提示信息,再进行溯源分析确定家族及破解方式(详见下方勒索病毒介绍)。也可直接利用市面上各安全公司提供的勒索病毒搜索引擎,上传样本,确认家族。

4.        确认被利用的端口(如:445,3389等),传播方式,途径,方便后期处置及溯源及影响范围调查,查看日志,确定实施过程(终端edr类产品)。

5.        根据确认特征确定被感染的范围:集群中是否存在其他节点也被感染(资产测绘),

查看内网中其他设备是否开放4中的端口。通过防火墙进行访问控制(人工参与)

对资产列表端口关闭、打补丁等。

6.        访问控制

?  在网络侧使用防火墙、终端安全监测等安全设备对中招主机进行隔离

?  避免将RDP远程桌面服务(默认端口3389)暴露在公网上

?  开启防火墙关闭4451351371381393389等不必要的端口

?  关闭 SMBv1 服务(关闭方法见附录)

?  立刻修改自己的登陆密码à还可以调用配置核查查看弱口令

?  修改同一局域网下其他主机服务器的密码

?  修改最高权限管理员的账号密码—>资产责任人查询,枚举邮箱账号,其他app账号等,设备整改

这样做是为了防止病毒继续感染其他服务器,造成无法估计的损失。

7.        如果是业务集群系统出现中招主机立即对核心业务系统和备份系统进行排查。

?  对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

?  查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器,以及主机上云存储中的文件等,是否已经全部加密了

?  如果备份系统未受感染,就可以避免支付赎金,顺利的恢复文件

8.        恢复数据

如果存在备份,还原备份数据,恢复业务,如果数据没有备份,可以在确定是哪种勒索病毒家族之后,通过勒索病毒搜索引擎,上传样本,搜索病毒看是否可进行解密,若可以解密直接应用解密工具解密。

如果无法恢复数据情况下:

?  可以通过一些磁盘数据恢复手段(找专业人士),恢复被删除的文件

?  可以跟一些第三方解密中介或直接通过邮件的方式联系黑客进行协商解密(但不推荐)

 

五、           病毒防御

勒索病毒的重点在于防御,如何做好防御,主要从以下几个方面入手:

1.        部署可靠高质量的防火墙、安装防病毒终端安全软件,检测应用程序、拦截可疑流量,使防病毒软件保持最新,设置为高强度安全防护级别,使用软件限制策略防止未经授权的应用程序运行,不轻易放行风险行为。

2.        及时更新电脑上的终端安全软件,常打补丁,定期修复漏洞

3.        关闭不必要的端口(3389445139135等),如果业务上无需使用RDP,关闭RDP,以防止黑客通过RDP爆破攻击,一定要应用尽量应用VPN

4.        培养员工的安全意识,不定期给进行安全教育的培训

5.        设置高强度的密码,而且要不定期进行密码的更新,避免使用统一的密码

6.        软件由IT部门统一从正规的网站进行下载,进行安全检测后,分发给企业内部员工,禁止员工自己从网站下载安装软件

7.        office等软件,进行安全设置,禁止宏运行,避免一些恶意软件通过宏病毒的方式感染主机

8.        从网站下载的文档,要经安全检测再打开,切不可直接双击运行

9.        不打开来历不明的邮件,不点击邮件中的不明附件或快捷方式,网站链接等,防止网页挂马,利用漏洞攻击等

10.     养成良好的备份习惯,对重要的数据和文档进行定期非本地备份

11.     不浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。

12.     不要轻易打开后缀名为jsvbswsfbat等脚本文件和exescr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。

13.     电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。

14.     对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。

15.     限制内网主机可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口。

16.     对重要数据和核心文件及时进行备份,并且备份系统与原系统隔离,分别保存。

 

六、           病毒介绍

一些常见的勒索病毒介绍


几乎所有的病毒的传播方式都存在RDP爆破,同时邮件也是重灾区,其余传播方式还包含漏洞,捆绑软件和僵尸网络。

七、           相关安全支撑产品

可以通过安装一些安全产品提高安全性,保证系统的正常运行。

1.        终端安全补丁软件:及时给办公终端打补丁、修复漏洞,包括操作系统以及第三方应用的补丁。

2.        威胁检测相关产品:增加全流量威胁检测手段,实时监测威胁、事件,发现对RDP端口暴力破解密码攻击行为,及时对攻击IP做限定访问的策略。

3.        日志审计相关产品:收集分析网络设备,安全设备,服务器的日志,并关联分析

4.        堡垒机:

a)       RDP账号托管定期修改密码

b)       网络设备配置ACL限制,只允许堡垒机IP访问服务器的远程管理端口(445338922)。

c)        开启审计功能便于溯源

5.        虚拟化安全管理系统:如用户处存在虚拟化环境,建议安装,可提升防恶意软件、防暴力破解等安全防护能力。

 

 

 

八、           附录

关闭 SMBv1 服务

?  Windows 8.1 Windows Server 2012 R2 及更高版本系统

个人pc:【控制面板】【程序】【打开或关闭 Windows 功能】

清除【SMB 1.0/CIFS 文件共享支持】复选框,单击【确定】关闭窗口。重启系统。

服务器操:

【服务器管理器】单击【管理】菜单,【删除角色和功能】,在【功能】窗口中,清除【SMB 1.0/CIFS 文件共享支持】复选框,单击【确定】关闭此窗口。重启系统。

?  Windows 7 Windows Server 2008 R2 Windows Vista Windows Server 2008,需修改注册表

注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建项︰ SMB1,值0DWORD

重新启动计算机

 

回帖
  • 消灭零回复