运维圣经：勒索病毒应急响应指南

时间：10-18来源：作者：点击数：

勒索病毒简介

勒索病毒，是一种伴随数字货币兴起的病毒木马，主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。绝大多数勒索病毒，被感染者是无法解密的，必须拿到解密的私钥才有可能破解。

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。

加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。据火绒监测，勒索病毒主要通过三种途径传播：漏洞、邮件和广告推广。

常见勒索病毒种类

WannaCry

WannaCry勒索病毒通过MS17-010漏洞进行传播，该病毒感染计算机后会向计算机植入敲诈者病毒，导致计算机大量文件被加密。受害者计算机被攻击者锁定后，病毒会提示需要支付相应赎金方可解密。

常见后缀: wncry；

传播方法:“永恒之蓝”漏洞；

特征:启动时会连接一个不存在的URL (Uniform Resource L ocator,统一资源定位符) ;创建系统服务mssecsvc2.0;释放路径为Windows目录。

Globelmposter

Globelmposter勒索病毒主要通过钓鱼邮件进行传播。攻击目标主要是开启远程桌面服务的服务器，攻击者暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密，暂时无法解密。

常见后缀: auchentoshan、动物名+4444等；

传播方法: RDP暴力破解、钓鱼邮件、捆绑软件等；

特征：释放在%appdata%或%localappdata%。

Crysis/ Dharma

Crysis/Dharma勒索病毒攻击方法是利用远程RDP暴力破解的方法植入到服务器进行攻击。Crysis采用AES+RSA的加密方法，无法解密。

常见后缀: [id] +勒索邮箱+特定后缀。

传播方法: RDP暴力破解。

特征:勒索信位置在startup目录，样本位置在%windir%\system32、 startup目录、%appdata%目录。

攻击特点

攻击者在对文件加密的过程中，一般不再使用C2服务器，也就是说现在的勒索病毒在加密时不需要回传私钥。

无C2服务器加密技术的加密过程大致如下:

在加密前随机生成新的加密密钥对(非对称公、私钥) ;
使用新生成的公钥对文件进行加密;
采用攻击者预埋的公钥把新生成的私钥进行加密，保存在一个ID文件中或嵌入加密文件。

无C2服务器加密技术的解密过程大致如下:

通过邮件或在线提交的方法，提交ID串或加密文件中的加密私钥(一般攻击者会提供工具提取该私钥) ;
攻击者使用保留的与预埋公钥对应的私钥解密受害者提交过来的私钥;
把解密私钥或解密工具交付给受害者进行解密。

通过以上过程可以实现每个受害者的解密私钥都不同，同时避免联网回传私钥。这也就意味着不需要联网，勒索病毒也可以对终端完成加密，甚至在隔离网环境下依然可以对文件和数据进行加密。

应急响应方法指南

如何判断中招勒索病毒？

业务系统无法访问
文件后缀被篡改
勒索信展示

一.隔离被感染的服务器/主机

对已被勒索的服务器/主机下线隔离，对未被勒索的服务器/主机做好防护。

方法：

物理隔离主要为断网或断电，关闭服务器/主机的无线网络、蓝牙连接等，禁用网卡，并拔掉服务器/主机上的所有外部存储设备;
访问控制主要是指对访问网络资源的权限进行严格认证和控制，常用的操作方法是加策略：
- 使用防火墙或终端安全监测系统；
- 避免将远程桌面服务(RDP，默认端口为3389)暴露在公网中并关闭445、139、 135等不必要的端口；
- 修改登录密码：立刻修改被感染服务器/主机的登录密码；修改同一局域网下的其他服务器/主机的登录密码；修改最高级系统管理员账号的登录密码。

二. 排查业务系统

在完成了勒索病毒事件判断及临时处置后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

针对未被勒索服务器/主机：在网络边界防火墙上全局关闭3389端口，或3389端口只对特定IP地址开放；开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口；每台服务器/主机设置高强度的复杂密码；安装最新杀毒软件或服务器加固版本，防止被攻击；对系统进行补丁更新；封堵病毒传播途径；若现场设备处在虚拟化环境下，则建议安装虚拟化安全管理系统，进一步提升防恶意软件、防暴力破解等安全防护能力。

针对未明确是否被勒索的服务器/主机：对该服务器/主机做策略隔离或者断网隔离，在确保该服务器/主机未连接网络的情况下，开启检查。

三.确定勒索病毒种类，进行溯源分析

在检查过程中，可以将疑似样本提取出来，通过威胁情报平台分析判断样本是否为恶意样本，也可以联系专业技术人员进行样本分析，确认样本的病毒类型、传播特性及其他恶意行为。

勒索病毒在感染服务器/主机后，攻击者通常会留下勒索提示信息。可以先从被加密的磁盘目录中寻找勒索提示信息，一些提示信息中会包含勒索病毒的标识，由此可直接判断本次感染的是哪一类勒索病毒，再通过勒索病毒处置工具查看是否能够解密。

溯源分析一般需要查看服务器/主机上保留的日志和样本。通过日志判断勒索病毒可能通过哪种方法侵入服务器/主机，如果日志被删除，就需要在服务器/主机上寻找相关的病毒样本或可疑文件，再通过这些可疑文件判断病毒的入侵途径。

针对操作系统，从系统和日志两个层面进行排查

系统层面主要包括是否有可疑账号、可疑进程、异常的网络连接、可疑任务计划、可疑服务及可疑启动项，确认加密文件是否可以解密；

日志层面主要包括安全日志是否有暴力破解记录、异常IP地址登录记录，对感染的服务器/主机展开溯源分析工作，串联异常登录IP地址情况，最后定位攻击的突破口。

四. 恢复数据和业务

通过备份数据进行恢复进行恢复业务

五. 清理加固

确认勒索病毒事件后，需要及时对勒索病毒进行清理并进行相应的数据恢复工作，同时对服务器/主机进行安全加固，避免二次感染

病毒清理及加固

1、在网络边界防火墙上全局关闭3389端口，或3389端口只对特定IP地址开放；

2、开启Windows防火墙，尽量关闭3389、445、 139、 135等不用的高危端口；

3、每台机器设置唯一登录密码，且密码应为高强度的复杂密码；

4、安装最新杀毒软件，对被感染机器进行安全扫描和病毒查杀；

5、对系统进行补丁更新，封堵病毒传播途径；

6、结合备份的网站日志对网站应用进行全面代码审计，找出攻击者利用的漏洞入口，进行封堵；

7、使用全流量设备(如天眼)对全网中存在的威胁进行分析，排查问题。

感染文件恢复

1、通过解密工具恢复感染文件；

2、支付赎金进行文件恢复。

六. 勒索病毒防御方法

个人终端防御

自动备份技术：

奇安信将其应用于文档卫土功能模块中。只要计算机中的文档出现被篡改的情况，该功能模块就会第一时间把文档自动备份在隔离区并保护起来，用户可以随时恢复文件

文档卫士的自动备份触发条件主要包括两点:第一，开机后第一次修改文档:第二，有可疑程序算改文档，当出现上述两种情况时，文档卫士会默认备份包括Word、Exce、PowerPoint、PDF 等格式在内的文件，并在备份成功后出现提示信息。用户还可以在设置中选择添加更多需要备份的文件格式，如用户计算机中的照片非常重要，就可以将 JPG 等图片格式加入保护范围

此外，文档卫士还集合了"文件解密”功能，安全专家可对一些勒索病毒家族进行逆向分析，实现多种类型的文件解密

综合性勒索反病毒技术：

防护软件在计算机系统的各处设置陷阱文件，当有病毒试图加密文件时，就会首先命中设置的陷阱，从而暴露其攻击行为。这样，安全软件就可以快速无损地发现各类试图加密或破坏文件的恶意程序