避免成(chéng)爲下一個受害者:勒索病毒急救響應議刀篇
判斷是否感染勒索病毒
由于勒索病毒主要目的是勒索,攻擊者在目标主機花湖完成(chéng)數據加密後(hòu),一般會(huì)提示受黃錢害者支付贖金。因此,勒索病毒有明顯區别于一般病毒的典型特征,可以通過畫事(guò)以下特征來判斷是否感染勒索病毒。
電腦桌面(miàn)出現勒索信息文件
主機被(bèi)感染勒索病毒後(hòu),最明顯的東錯特征是電腦桌面(miàn)或者文件目錄下通常會(huì器鄉)出現新的文本文件或網頁文件,這(zh秒員è)些文件用來說(shuō)明如何解密的信息,同時(sh民聽í)顯示勒索提示信息及解密聯系山為方式。爲了更加明顯的提示受害者勒索信息,部分家族甚雜東至直接修改電腦桌面(miàn)背景。
以下是部分流行勒索病毒的勒索信息:
文件被(bèi)篡改
主機被(bèi)感染勒索病毒後(hòu),另一個明顯的特征費女是主機上很多文件後(hòu)綴名被(bè內學i)篡改,導緻文檔、照片、視頻等文件變成(chéng)不可打拿電開(kāi)的形式。一般情況下,文件後(hòu)綴名關書會(huì)被(bèi)修改成(chéng)勒索病毒家族的名稱或者勒煙請索病毒家族的代表标志,比如Phobos常用的加密後(hòu)綴有:.de東謝war、.devil、.Devos、.ei草少ght、.eking等;Hospit在針對(du是弟ì)醫療行業進(jìn)行攻擊時(shí),使用的機通加密後(hòu)綴爲.guanhospit,針對(子技duì)制造業發(fā)動攻擊,使用的加密後(hòu)綴爲.builde員醫r;GlobeImposter的相關後(hòu)綴就(jiù)超過讀紙(guò)兩(liǎng)百五十種(zhǒng),“體不十二生肖”系列、“十二主神”系列麗子、“C*H”系列變種(zhǒng)都(d遠和ōu)曾在國(guó)内引起(qǐ)軒然大波。
業務訪問異常
主機被(bèi)感染病毒後(hòu),對慢由于業務系統文件被(bèi)篡改,或者病間坐毒在主機上調用系統程序異常,都(dōu)可能(néng)通玩導緻主機業務系統訪問異常,甚至業務癱瘓的現象。比如早了歌期部分Wannacry變種(zhǒng)永恒漏洞利用失敗導緻srv.道雪sys驅動異常出現主機藍屏現象。
勒索病毒急救響應措施
基礎急救措施
針對(duì)小型單位或者沒(méi)有能(néng)力進線志(jìn)行病毒溯源的組織,在勒索病毒響應方身熱面(miàn),最先考慮的考慮是盡快切斷病毒在内網的傳播感習現染。
1.斷網隔離
第一時(shí)間將(jiāng為醫)所有感染主機進(jìn)行網絡隔離,可采用深信服的一女制鍵全局隔離方案,或采取拔網線的物理方式,這(zhè)樣(yà南年ng)是防止勒索病毒在内網進(jìn)月離一步傳播感染,避免組織造成(chéng)二次損失最直裡冷接的方式。至于其它未中招的主機,建議根據災情實際情況,選擇是否隔離網絡。明信理論上來講,如果災情嚴重,建議所有主森媽機都(dōu)隔離網絡,待應急結內照束,加固完成(chéng)後(hòu),再放通網絡。
2.端口隔離
進(jìn)一步關閉135、139、443、445、3389等TCP端口女銀,以及137、138等UDP端口,避免病毒利用端口進(jìn)朋哥行傳播。尤其RDP端口,如無業務需要,錯用建議直接關閉,如有業務需要,也建議通過(女討guò)微隔離等手段進(jìn)行策略訪問控制動麗及封堵。
3.病毒查殺
确保病毒不會(huì)在内網橫向(xiàng)老就擴散後(hòu),借用病毒查殺工具進(jìn)行病毒全盤掃河服描,找到病毒文件進(jìn)行隔離查殺處置。如主機核心系這紙統文件被(bèi)加密,則進(j暗房ìn)行系統重裝。
4.加固防範
爲避免下一次感染,對(duì光微)網絡進(jìn)行加固升級防護措要師施。包括:
及時(shí)對(duì)操作系統、設備、以及軟件進(jìn)跳熱行打補丁和更新;
确保安全設備及安全軟件等升級到最新版本,包括網絡什去上的反病毒、入侵防護系統、以及反惡意軟件動體工具等;
做好(hǎo)網絡安全隔離,將(jiāng)網絡隔離司志到安全區,确保某個區域的感染不會(huì)輕易擴散到員劇其他區域;
建立并實施自帶設備安全策略,檢查并隔離不符合安全标準(沒(離來méi)有安裝反惡意軟件、反病毒文件過(guò)期很學、操作系統需要關鍵性補丁等)的設備做區;
建立并實施權限與特權制度,使無權限用戶無法訪問到關鍵長喝應用程序、數據、或服務;
制定備份與恢複計劃,最好(hǎo)能(néng)將(ji從話āng)備份文件離線存儲到獨立設備。&nbs現愛p;
完善急救措施
針對(duì)大型單位或者有溯源動校需求的組織,在急救過(guò)程需要注意保留現場,避免給後(hòu)煙土續做防禦加固、解密恢複帶來困難。
1.梳理資産,确認災情
盡快判斷影響面(miàn),有利于後(hòu)續工作開(見就kāi)展及資源投入,确認感染數量、感染終端業務歸屬、感染家族等詳情。梳理男歌的表格可參考如下:
2、保留現場,斷開(kāi)網絡
盡快斷網,降低影響面(miàn),保留內農現場,不要輕易重啓或破壞(若發(fā)現主機還(hái)沒(méi)完成(c中間héng)加密的情況,可以即刻斷電,交給專業安全人員處理),避免給後林去(hòu)續溯源分析、解密恢複帶來困難。
3、确認訴求,聚焦重點
确認訴求,是勒索病毒應急響應的核心。
受害組織必須明确核心訴求,比如數據的就解密、加固防禦、入侵分析(溯源取證)、樣(yàng)本分析、企業内網安全狀務農況評估等,應急響應人員則根據核心訴求,按照緊急程度依次開(kāi)相不展工作。
4、樣(yàng)本提取,數據收集
提取系統日志:將(jiāng)C:\計個Windows\System32\winevt\Logs目錄拷貝一份到桌器兒面(miàn),然後(hòu)在桌面(miàn)上將(jiāng)其壓縮爲以短湖感染主機命名的壓縮包,例如:192.168.1.河兵1-windows-log.zip
提取加密文件:選取若幹文件較小的被(bèi)加密文件,留作後(hò能月u)面(miàn)解密嘗試,以及用于判熱線斷勒索病毒家族。
- 判斷病毒文件是否還(hái)在加密
使用everything文件檢索工具,搜索被(器哥bèi)加密文件,比如文件加密愛文後(hòu)綴爲“Ares666”,那麼(me女音)就(jiù)搜索“*.Ares666”,按修改時(shí)舞街間排序,觀察是否有新的被(bèi)加密文件玩問,如果正在産生新加密文件,立刻關機,關機後(hòu)可將(jiāng)視紅磁盤進(jìn)行刻錄用來分析;如果已經(jīng)停月家止加密,則繼續進(jìn)行後(hòu)續步驟。
- 收集系統日志文件
Windows系統日志目錄爲“C:\Windows\System32\有又winevt\Logs”,可以整個打包下來。(整體文件比較大,可進(生裡jìn)行壓縮,直接壓縮可能(néng)會(huì)失敗,原因是文件好外被(bèi)占用,將(jiāng)Logs目錄拷貝到服聽桌面(miàn)再壓縮即可。)
- 采集家族信息
被(bèi)加密的文件不是病毒樣(yàng)本多見,因此可把完整的加密後(hòu)綴、勒索文本/彈窗一起微我(qǐ)保存或截圖保存,如果截圖則截很弟圖要完整和清晰。
- 查找病毒文件
勒索病毒文件通常都(dōu)比較新,可以使用everything搜生照索“*.exe”,按修改時(shí)間(或創建時(sh我微í)間)排序,通過(guò)目錄和文件名猜測可能(néng)的病毒器坐文件,一般可能(néng)性比較大的目錄包括:
“C:\Windows\Temp”
“C:\Users\[user]\AppData\Local\Temp那草”
“C:\Users\[user]\Desk懂兵top”
“C:\Users\[user]\Downloa吧大ds”
“C:\Users\[user]\Pictures”等等。
5、判斷家族,嘗試解密
通過(guò)深信服EDR官網根據勒索信息文件和加密後(hòu)綴離人進(jìn)行家族搜索,從而确認病毒家族,EDR官網網址如下:
https://edr.sangfor.新物com.cn/#/information/ransom_麗嗎search
如果該病毒家族有解密工具,可直接進(jìn)行下載,注意需要將文鐘(jiāng)原加密數據備份後(hòu)站都再進(jìn)行解密,謹防損壞後(hòu)永久校嗎性丢失數據。
6、溯源取證,封堵源頭
通過(guò)對(duì)主機日志、安全産品日志的詳少錯細排查,定位入侵來源,還(hái)原攻擊過(光技guò)程,盡快對(duì)攻擊入現窗口進(jìn)行封堵。一般來說(shuō)通過(guò)文件修也藍改時(shí)間,确定各個主機之間的先後(hòu)計說感染順序,一般情況下,最開(kāi)始被(bèi)感染的主機,即化黃内網入侵點之所在。
7、加固防禦,以絕後(hòu)患
加固防禦,也是勒索病毒應急響應的重要組成(chéng)部分,是防止二次傷區技害,二次中招的關鍵步驟,主要的加固和防禦方向(xiàng)如藍吃:避免弱口令,避免多個系統使用同一口令;漏洞管理,定期漏掃,及時(shí)打補身一丁,修複漏洞;安裝殺毒軟件,定期殺毒;數據備份,對(duì慢少)重要的數據文件定期進(jìn)行非本地備份;安全意識宣傳,包括不使用不明來曆姐鐘的U盤、移動硬盤等存儲設備、不風自要點擊來源不明的郵件以及附件、不接入公共網絡也不允路請許内部網絡接入來曆不明外網PC等等。