勒索病毒应急响应
2017年开始勒索病毒大规模爆发,疯狂敛财,影响日渐扩大。近几年由勒索病毒攻击造成的国内外大小事件层出不穷,全球范围内的政府、交通、能源、医疗等社会基础服务设施,成为了勒索病毒攻击的目标。攻击政府机构、大中型企业的常见勒索病毒分别为GlobeImposter勒索软件、Wannacry勒索软件、Crysis勒索软件、GandCrab勒索软件等。
一、如何判断病情
勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。
1、业务系统无法访问
2018年以来,勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线。但是,当业务系统出现无法访问、生产线停产等现象时,并不能100%确定是服务器感染了勒索病毒,也有可能是遭到DDoS攻击或是中了其他病毒等原因所致,因此还需要结合其他特征来判断。
2、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。
3、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。
当我们看到上述三个现象的时候,说明服务器已经遭到勒索病毒的攻击,需要做的是如何最大化的减少损失,并阻止黑客继续去攻击其他服务器。
二、如何展开自救
之所以要进行自救,主要是因为等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。采取自救措施的目的是为了及时止损,将损失降到最低。
(一)正确处置方法
1、隔离中招主机
处置方法:当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段。
(1)隔离:物理隔离常用的操作方法是断网和关机。 断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
(2)访问控制:访问控制常用的操作方法是加策略和修改登录密码。 加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。 修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。
处置原理:隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。 有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。 另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
2、排查业务系统
处置方法:在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,检查备份系统是否被加密等,以确定感染的范围。
处置原理:业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。 所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
3、联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
(二)错误处置方法
1、使用移动存储设备
错误操作:当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理: 勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U 盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。
2、读写中招主机上的磁盘文件
错误操作:当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理: 很多流行勒索病毒的基本加密过程为:首先,将保存在磁盘上的文件读取到内存中;其次,在内存中对文件进行加密;最后,将修改后的文件重新写到磁盘中,并将原始文件删除。 也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。 而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
感染勒索病毒后,对于政企机构来说,最重要的就是怎么恢复被加密的文件了。一般来说,可以通过历史备份、解密工具、支付赎金来恢复被感染的系统。但是这三种操作都有一定的难度,因此,建议受害者不要自行操作。如果您想恢复系统,请联系专业的技术人员或安全厂商。
四、普通终端用户安全建议
(一)养成良好的安全习惯:
1、电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2、使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和IE、Flash等常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3、密码一定要使用强口令,并且不同账号使用不同密码。
4、重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
(二)减少危险的上网操作
1、不要浏览来路不明的网站,这些网站经常被用于发动挂马、钓鱼攻击。
2、不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
3、不要轻易打开后缀名为js、vbs、wsf、bat等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。
4、电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
5、对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
(三)采取及时的补救措施
安装“360安全卫士”并开启“反勒索服务”,一旦电脑被勒索病毒感染,可以通过360反勒索服务申请赎金赔付,以尽可能的减小自身经济损失。
五、政企用户安全建议
1、安装终端安全软件,及时给办公终端打补丁修复漏洞,包括操作系统以及第三方应用的补丁。
2、针对政企用户的业务服务器,除了安装杀毒软件还需要部署安全加固软件,阻断黑客攻击。
3、企业用户应采用足够复杂的登录密码登录办公系统或服务器,并定期更换密码,严格避免多台服务器共用同一个密码。
4、对重要数据和核心文件及时进行备份,并且备份系统与原系统隔离,分别保存。
5、安装专用安全设备,增加全流量威胁检测手段,实时监测威胁、事件。
6、如果没有使用的必要,应尽量关闭不必要的常见网络端口,比如:445、3389等。
7、提高运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,如有远程家中办公电脑也需要定期进行病毒木马查杀。
(主要技术内容来自奇安信网站的《勒索病毒应急响应自救手册》)