勒索病毒应急措施及防护方案

勒索病毒应急措施及防护方案2020年version3.0勒索病毒应急措施及防护方案2019年，GandCrab勒索病毒运营团队宣称自己在一年半的时间里获利20亿美元，这一消息震惊全球，这个成功案例也将大大刺激更多不法分子继续经营勒索病毒业务。2019年3月，世界最大的铝制品生产商挪威海德鲁公司（NorskHydro）遭遇勒索软件公司，随后该公司被迫关闭几条自动化生产线。2019年5月26日，国内某打车软件平台发布公告称其服务器遭受连续攻击，服务器内核心数据被加密，攻击者索要巨额比特币。该公司严厉谴责该不法行为，并向公安机关报警。2019年5月29日，美国佛罗里达州里维埃拉海滩警察局因员工打开恶意电子邮件，从而导致该市基础服务设施遭受勒索软件加密。市政官员于随后召开会议，批准动用大约60万美元支付勒索赎金。2019年6月中旬，世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击，由于被病毒攻击导致的生产环境系统瘫痪，该公司将1400名工人中大约1000人带薪休假，同时停止了四个国家的工厂生产。勒索病毒已经成为一类最臭名昭著的计算机病毒，近年来对用户造成了不估量的损失。勒索病毒对用户造成的资金损失甚至远超当年的“熊猫烧香”、”CHI”等病毒2019年勒索病毒攻击态势2019年，GandCrab勒索病毒运营团队宣称自己在一年半

2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算机超过250万台，时间分布上以2019年1月份最为活跃，2月到6月整体较为平稳，近期略有上升趋势。

2019上半年，勒索病毒的主要攻击方式依然以弱口令爆破攻击为主，其次为通过海量的垃圾邮件传播，而利用高危漏洞、漏洞工具包主动传播的方式紧随其后，整体攻击方式呈现多元化的特征。2019上半年勒索病毒攻击态势

2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算勒索病毒产业链勒索者勒索病毒作者中毒受害者传播渠道商解密代理勒索病毒制作传播传播攻击合作分成分成缴纳较低赎金缴纳较高赎金合作分成勒索病毒产业链勒索者勒索病毒作者中毒受害者传播渠道商解密代理病毒勒索五大形式1.数据加密勒索：这种方式是当前受害群体最多、社会影响最广，勒索犯罪中最为活跃的表现形式，该方式通过加密用户系统内的重要资料文档，数据，再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者，非法敛财20亿美元2.系统锁定勒索：该形式勒索与数据加密勒索有着极大的相似性。这种方式的攻击重点不是针对磁盘文件，而是通过修改系统引导区，篡改系统开机密码等手段将用户系统锁定，导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。3.数据泄漏勒索：该类型勒索通常情况针对企业实施，黑客通过入侵拿到企业内相关机密数据，随后敲诈企业支付一定金额的赎金，黑客收到赎金后称会销毁数据，否则将进入撕票流程，在指定时间将企业机密数据公开发布，以此要挟企业支付酬金。4.诈骗恐吓式勒索：此类型勒索与企业数据泄露造成的勒索有着相似点，针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据，他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。5.掩盖入侵真相在部分涉及各行业重要数据，国家机密数据的染毒场景中，部分黑客组织在实施APT攻击之后，为消除痕迹，会进一步投递破坏性的勒索病毒，将用户资料加密，勒索病毒的加密机制，让这些攻击行动变得较为常见，从而有利于黑客组织掩盖真实攻击意图。1.数据加密勒索这种方式是当前受害群体最多、社会影响最广，勒索犯罪中最为活跃的表现形式，该方式通过加密用户系统内的重要资料文档，数据，再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者，非法敛财20亿美元2.系统锁定勒索该形式勒索与数据加密勒索有着极大的相似性。这种方式的攻击重点不是针对磁盘文件，而是通过修改系统引导区，篡改系统开机密码等手段将用户系统锁定，导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。3.数据泄漏勒索该类型勒索通常情况针对企业实施，黑客通过入侵拿到企业内相关机密数据，随后敲诈企业支付一定金额的赎金，黑客收到赎金后称会销毁数据，否则将进入撕票流程，在指定时间将企业机密数据公开发布，以此要挟企业支付酬金。4.诈骗恐吓式勒索此类型勒索与企业数据泄露造成的勒索有着相似点，针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据，他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。5.掩盖入侵真相在部分涉及各行业重要数据，各国家机密数据的染毒场景中，部分黑客组织在实施APT攻击之后，为消除痕迹，会进一步投递破坏性的勒索病毒，将用户资料加密，勒索病毒的加密机制，让这些攻击行动变得较为常见，从而有利于黑客组织掩盖真实攻击意图。病毒勒索五大形式1.数据加密勒索：1.数据加密勒索这种方勒索病毒攻击手段弱口令攻击口令爆破攻击依然是当前最为流行的攻击手段，使用过于简单的口令或者已经泄露的口令是造成设备被攻陷的最常见原因。钓鱼和垃圾邮件“钓鱼邮件”攻击是最常见的一类攻击手段，在勒索病毒传播中也被大量采用。通过具有诱惑力的邮件标题、内容、附件名称等，诱骗用户打开木马站点或者带毒附件，从而攻击用户计算机。利用系统与软件漏洞攻击漏洞攻防一直是安全攻防的最前沿阵地，利用漏洞发起攻击也是最常见的安全问题之一。“永恒之蓝”工具就是其中利用漏洞的一个典型代表，其被用来传播WannaCry勒索病毒。网站挂马攻击挂马攻击一直以来是黑客们热衷的一种攻击方式，常见的有通过攻击正常站点，插入恶意代码实施挂马，也有自己搭建恶意站点诱骗用户访问的。破解软件与激活工具破解软件与激活工具通常都涉及到知识产权侵权问题，一般是由个人开发者开发与发布，缺少有效的管理，其中鱼龙混杂，也是夹带木马病毒的重灾区。通过U盘感染U盘随意使用U盘拷备文件，内外网混用等，易于传播病毒勒索病毒攻击手段弱口令攻击钓鱼和垃圾邮件利用系统与软件漏病毒入侵的本质“网络杀伤链”勒索病毒入侵过程侦查跟踪武器构建载荷投送漏洞利用安装植入命令与控制目标达成病毒入侵的本质“网络杀伤链”勒索病毒入侵过程侦查跟踪武器构勒索病毒中毒特征一、业务系统无法访问勒索病毒的攻击不再局限于加密核心业务文件；转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营。二、电脑桌面被篡改被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式。三、文件后缀被篡改感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。勒索病毒中毒特征一、业务系统无法访问二、电脑桌面被篡改三、文当确认已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。1）物理隔离物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。2）访问控制访问控制常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。(一)

隔离中毒主机在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。评估风险，及时采取对应的处置措施，避免更大的危害。防止病毒继续感染其他服务器，造成无法估计的损失。(二)

排查业务系统在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。(三)

联系专业人员勒索病毒自救措施当确认已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。勒索病毒通常会对感染电脑上的所有文件进行加密，所以当插上U盘或移动硬盘时，也会立即对其存储的内容进行加密，从而造成损失扩大。从一般性原则来看，当电脑感染病毒时，病毒也可能通过U盘等移动存储介质进行传播。所以，当确认服务器已经被感染勒索病毒后，切勿在中毒电脑上使用U盘、移动硬盘等设备。(一)

使用移动存储设备当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。很多流行勒索病毒的基本加密过程为：1）首先，将保存在磁盘上的文件读取到内存中；2）其次，在内存中对文件进行加密；3）最后，将修改后的文件重新写到磁盘中，并将原始文件删除。也就是说，很多勒索病毒在生成加密文件的同时，会对原始文件采取删除操作。理论上说，使用某些专用的数据恢复软件，还是有可能部分或全部恢复被加密文件的。而此时，如果用户对电脑磁盘进行反复的读写操作，有可能破坏磁盘空间上的原始文件，最终导致原本还有希望恢复的文件彻底无法恢复。(二)

读写中招主机上的磁盘文件勒索病毒自救措施错误处置方法当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动拒绝勒索：这家门户网站可免费解密109种勒索软件

42家执法机构、5家欧盟单位、101家公营和私营实体……

据称，免费帮勒索软件受害者恢复文件的一项倡议已助超20万受害者摆脱文件被锁困扰，挽救了约1.08亿美元的业务。如今，该倡议设立的门户网站已可帮受害者解密109种勒索软件。该倡议名为“NoMoreRansom（拒绝勒索）”，于2016年7月26日提出，在全球拥有150多家合作伙伴，2019年半年时间已向其门户网站添加14种新工具。荷兰警方、欧洲刑警组织(Europol)辖下欧洲网络犯罪中心和安全技术公司迈克菲，是该倡议的首创者。勒索病毒自救措施/注意：不是100%成功拒绝勒索：这家门户网站可免费解密109种勒索软件勒索病毒自救勒索病毒立体防护解决方案010101101010101010101101010101010101101010101010101101010101010101101010101010101101010101010101101010101010101101010101核心业务数据封禁不需要的端口3389/135/137/139/445端口的连接;开启IPS功能和防病毒功能下一代防火墙上网行为管理封禁不合规的下载软件及非法不良网站防止勒索病毒通过邮件传播WAF防火墙反垃圾邮件保护核心网站不被黑客利用及破坏漏洞扫描及时发现系统漏洞并更新防护补丁终端安全防止非授权人员对核心系统的非法操作及对日常运维配置审计堡垒机数据备份系统流量分析系统对电脑终端病毒进行查杀防护，同时限制不安全U盘的读写分析网络流量，追溯安全事件重要系统和数据的离线备份，确保重要数据不丢失第一道防线拦截侦查跟踪、武器构建、载荷投送三个阶段的攻击第二道防线拦截漏洞利用、安装植入、命令与控制三个阶段的攻击第三道防线万一黑客目标达成后，用以恢复数据勒索病毒立体防护解决方案010101101010101010勒索病毒立体防护解决方案防线产品防御能力拦截阶段第一道下一代防火墙封禁不需要的端口3389/135/137/139/445端口的连接;开启IPS功能和防病毒功能

拦截侦查跟踪、武器构建、载荷投送三个阶段的攻击

上网行为管理封禁不合规的下载软件及非