為(wèi)幫助更多(duō)的組織單位有(yǒu)效應對勒索病毒威脅,信服君本期将分享勒索病毒急救措施,幫助組織單位進行(xíng)快速應急響應。
判斷是否感染勒索病毒
由于勒索病毒主要目的是勒索,攻擊者在目标主機完成數(shù)據加密後,一般會(huì)提示受害者支付贖金。因此,勒索病毒有(yǒu)明(míng)顯區(qū)别于一般病毒的典型特征,可(kě)以通(tōng)過以下特征來(lái)判斷是否感染勒索病毒。
電(diàn)腦(nǎo)桌面出現勒索信息文件
主機被感染勒索病毒後,最明(míng)顯的特征是電(diàn)腦(nǎo)桌面或者文件目錄下通(tōng)常會(huì)出現新的文本文件或網頁文件,這些(xiē)文件用來(lái)說明(míng)如何解密的信息,同時(shí)顯示勒索提示信息及解密聯系方式。為(wèi)了更加明(míng)顯的提示受害者勒索信息,部分家(jiā)族甚至直接修改電(diàn)腦(nǎo)桌面背景。
以下是部分流行(xíng)勒索病毒的勒索信息:
文件被篡改
主機被感染勒索病毒後,另一個(gè)明(míng)顯的特征是主機上(shàng)很(hěn)多(duō)文件後綴名被篡改,導緻文檔、照片、視(shì)頻等文件變成不可(kě)打開(kāi)的形式。一般情況下,文件後綴名會(huì)被修改成勒索病毒家(jiā)族的名稱或者勒索病毒家(jiā)族的代表标志(zhì),比如Phobos常用的加密後綴有(yǒu):.dewar、.devil、.Devos、.eight、.eking等;Hospit在針對醫(yī)療行(xíng)業進行(xíng)攻擊時(shí),使用的加密後綴為(wèi).guanhospit,針對制(zhì)造業發動攻擊,使用的加密後綴為(wèi).builder;GlobeImposter的相關後綴就超過兩百五十種,“十二生(shēng)肖”系列、“十二主神”系列、“C*H”系列變種都曾在國內(nèi)引起軒然大(dà)波。
業務訪問異常
主機被感染病毒後,由于業務系統文件被篡改,或者病毒在主機上(shàng)調用系統程序異常,都可(kě)能導緻主機業務系統訪問異常,甚至業務癱瘓的現象。比如早期部分Wannacry變種永恒漏洞利用失敗導緻srv.sys驅動異常出現主機藍(lán)屏現象。
勒索病毒急救響應措施
基礎急救措施
針對小(xiǎo)型單位或者沒有(yǒu)能力進行(xíng)病毒溯源的組織,在勒索病毒響應方面,最先考慮的考慮是盡快切斷病毒在內(nèi)網的傳播感染。
1.斷網隔離
第一時(shí)間(jiān)将所有(yǒu)感染主機進行(xíng)網絡隔離,可(kě)采用深信服的一鍵全局隔離方案,或采取拔網線的物理(lǐ)方式,這樣是防止勒索病毒在內(nèi)網進一步傳播感染,避免組織造成二次損失最直接的方式。至于其它未中招的主機,建議根據災情實際情況,選擇是否隔離網絡。理(lǐ)論上(shàng)來(lái)講,如果災情嚴重,建議所有(yǒu)主機都隔離網絡,待應急結束,加固完成後,再放通(tōng)網絡。
2.端口隔離
進一步關閉135、139、443、445、3389等TCP端口,以及137、138等UDP端口,避免病毒利用端口進行(xíng)傳播。尤其RDP端口,如無業務需要,建議直接關閉,如有(yǒu)業務需要,也建議通(tōng)過微隔離等手段進行(xíng)策略訪問控制(zhì)及封堵。
3.病毒查殺
确保病毒不會(huì)在內(nèi)網橫向擴散後,借用病毒查殺工具進行(xíng)病毒全盤掃描,找到病毒文件進行(xíng)隔離查殺處置。如主機核心系統文件被加密,則進行(xíng)系統重裝。
4.加固防範
為(wèi)避免下一次感染,對網絡進行(xíng)加固升級防護措施。包括:
及時(shí)對操作(zuò)系統、設備、以及軟件進行(xíng)打補丁和(hé)更新;
确保安全設備及安全軟件等升級到最新版本,包括網絡上(shàng)的反病毒、入侵防護系統、以及反惡意軟件工具等;
做(zuò)好網絡安全隔離,将網絡隔離到安全區(qū),确保某個(gè)區(qū)域的感染不會(huì)輕易擴散到其他區(qū)域;
建立并實施自帶設備安全策略,檢查并隔離不符合安全标準(沒有(yǒu)安裝反惡意軟件、反病毒文件過期、操作(zuò)系統需要關鍵性補丁等)的設備;
建立并實施權限與特權制(zhì)度,使無權限用戶無法訪問到關鍵應用程序、數(shù)據、或服務;
制(zhì)定備份與恢複計(jì)劃,最好能将備份文件離線存儲到獨立設備。
完善急救措施
針對大(dà)型單位或者有(yǒu)溯源需求的組織,在急救過程需要注意保留現場(chǎng),避免給後續做(zuò)防禦加固、解密恢複帶來(lái)困難。
1.梳理(lǐ)資産,确認災情
盡快判斷影(yǐng)響面,有(yǒu)利于後續工作(zuò)開(kāi)展及資源投入,确認感染數(shù)量、感染終端業務歸屬、感染家(jiā)族等詳情。梳理(lǐ)的表格可(kě)參考如下:
2、保留現場(chǎng),斷開(kāi)網絡
盡快斷網,降低(dī)影(yǐng)響面,保留現場(chǎng),不要輕易重啓或破壞(若發現主機還(hái)沒完成加密的情況,可(kě)以即刻斷電(diàn),交給專業安全人(rén)員處理(lǐ)),避免給後續溯源分析、解密恢複帶來(lái)困難。
3、确認訴求,聚焦重點
确認訴求,是勒索病毒應急響應的核心。
受害組織必須明(míng)确核心訴求,比如數(shù)據解密、加固防禦、入侵分析(溯源取證)、樣本分析、企業內(nèi)網安全狀況評估等,應急響應人(rén)員則根據核心訴求,按照緊急程度依次開(kāi)展工作(zuò)。
4、樣本提取,數(shù)據收集
提取系統日志(zhì):将C:WindowsSystem32winevtLogs目錄拷貝一份到桌面,然後在桌面上(shàng)将其壓縮為(wèi)以感染主機命名的壓縮包,例如:192.168.1.1-windows-log.zip
提取加密文件:選取若幹文件較小(xiǎo)的被加密文件,留作(zuò)後面解密嘗試,以及用于判斷勒索病毒家(jiā)族。
使用everything文件檢索工具,搜索被加密文件,比如文件加密後綴為(wèi)“Ares666”,那(nà)麽就搜索“*.Ares666”,按修改時(shí)間(jiān)排序,觀察是否有(yǒu)新的被加密文件,如果正在産生(shēng)新加密文件,立刻關機,關機後可(kě)将磁盤進行(xíng)刻錄用來(lái)分析;如果已經停止加密,則繼續進行(xíng)後續步驟。
Windows系統日志(zhì)目錄為(wèi)“C:WindowsSystem32winevtLogs”,可(kě)以整個(gè)打包下來(lái)。(整體(tǐ)文件比較大(dà),可(kě)進行(xíng)壓縮,直接壓縮可(kě)能會(huì)失敗,原因是文件被占用,将Logs目錄拷貝到桌面再壓縮即可(kě)。)
被加密的文件不是病毒樣本,因此可(kě)把完整的加密後綴、勒索文本/彈窗一起保存或截圖保存,如果截圖則截圖要完整和(hé)清晰。
勒索病毒文件通(tōng)常都比較新,可(kě)以使用everything搜索“*.exe”,按修改時(shí)間(jiān)(或創建時(shí)間(jiān))排序,通(tōng)過目錄和(hé)文件名猜測可(kě)能的病毒文件,一般可(kě)能性比較大(dà)的目錄包括:
“C:WindowsTemp”
“C:Users[user]AppDataLocalTemp”
“C:Users[user]Desktop”
“C:Users[user]Downloads”
“C:Users[user]Pictures”等等。
5、判斷家(jiā)族,嘗試解密
通(tōng)過深信服EDR官網根據勒索信息文件和(hé)加密後綴進行(xíng)家(jiā)族搜索,從而确認病毒家(jiā)族,EDR官網網址如下:
https://edr.sangfor.com.cn/#/information/ransom_search
如果該病毒家(jiā)族有(yǒu)解密工具,可(kě)直接進行(xíng)下載,注意需要将原加密數(shù)據備份後再進行(xíng)解密,謹防損壞後永久性丢失數(shù)據。
6、溯源取證,封堵源頭
通(tōng)過對主機日志(zhì)、安全産品日志(zhì)的詳細排查,定位入侵來(lái)源,還(hái)原攻擊過程,盡快對攻擊入口進行(xíng)封堵。一般來(lái)說通(tōng)過文件修改時(shí)間(jiān),确定各個(gè)主機之間(jiān)的先後感染順序,一般情況下,最開(kāi)始被感染的主機,即內(nèi)網入侵點之所在。
7、加固防禦,以絕後患
加固防禦,也是勒索病毒應急響應的重要組成部分,是防止二次傷害,二次中招的關鍵步驟,主要的加固和(hé)防禦方向如:避免弱口令,避免多(duō)個(gè)系統使用同一口令;漏洞管理(lǐ),定期漏掃,及時(shí)打補丁,修複漏洞;安裝殺毒軟件,定期殺毒;數(shù)據備份,對重要的數(shù)據文件定期進行(xíng)非本地備份;安全意識宣傳,包括不使用不明(míng)來(lái)曆的U盤、移動硬盤等存儲設備、不要點擊來(lái)源不明(míng)的郵件以及附件、不接入公共網絡也不允許內(nèi)部網絡接入來(lái)曆不明(míng)外網PC等等。
7*24小(xiǎo)時(shí)服務熱線:010-62522552
