勒索病毒防范措施與應急響應指南
2019年09月27日
這篇文章我將重點講解一下�����,作為一名安全應急響應人員���,該如何去處理勒索病毒,可以給客戶提供哪些勒索病毒防范措施和應急響應指導等����。
關于勒索病毒,很多朋友在后臺留言常常會問我這兩個問題:
企業(yè)應該如何做好安全防護�,主要從以下幾個方面入手:
(1) 部署可靠高質量的防火墻、安裝防病毒終端安全軟件���,檢測應用程序���、攔截可疑流量,使防病毒軟件保持最新���,設置為高強度安全防護級別�,還可以使用軟件限制策略防止未經授權的應用程序運行
(2) 關注最新的漏洞,及時更新電腦上的終端安全軟件���,修復最新的漏洞
(3) 關閉不必要的端口����,目前發(fā)現(xiàn)的大部分勒索病毒通過開放的RDP端口進行傳播�,如果業(yè)務上無需使用RDP,建議關閉RDP�����,以防止黑客通過RDP爆破攻擊
(4) 培養(yǎng)員工的安全意識����,這點非常重要,如果企業(yè)員工不重視安全�����,遲早會出現(xiàn)安全問題���,安全防護的重點永遠在于人�����,人也是最大的安全漏洞��,企業(yè)需要不定期給員工進行安全教育的培訓�����,與員工一起開展安全意識培訓�����、檢查和討論:
設置高強度的密碼����,而且要不定期進行密碼的更新���,避免使用統(tǒng)一的密碼����,統(tǒng)一的密碼會導致企業(yè)多臺電腦被感染的風險����,此前我就遇到過一個企業(yè)內網的密碼都使用同一個的情況����,導致企業(yè)內部多臺電腦被勒索加密
企業(yè)內部應用程序的管控與設置�,所有的軟件都由IT部門統(tǒng)一從正規(guī)的網站進行下載,進行安全檢測之后�����,然后再分發(fā)給企業(yè)內部員工���,禁止員工自己從非正規(guī)的網站下載安裝軟件
企業(yè)內部使用的office等軟件��,要進行安全設置�����,禁止宏運行����,避免一些惡意軟件通過宏病毒的方式感染主機
從來歷不明的網站下載的一些文檔���,要經過安全檢測才能打開使用����,切不可直接雙擊運行
謹慎打開來歷不明的郵件,防止被郵件釣魚攻擊和垃圾郵件攻擊���,不要隨便點擊郵件中的不明附件或快捷方式�����,網站鏈接等,防止網頁掛馬�����,利用漏洞攻擊等
可以不定期進行安全攻防演練�����,模擬攻擊等����,讓員工了解黑客有哪些攻擊手法
可以給員工進行勒索病毒感染實例講解,用真實的勒索病毒樣本���,進行模擬感染攻擊���,讓員工了解勒索病毒的危害
(5) 養(yǎng)成良好的備份習慣�����,對重要的數(shù)據(jù)和文檔進行定期非本地備份�����,可使用移動存儲設置保存關鍵數(shù)據(jù)��,同時要定期測試保存的備份數(shù)據(jù)是否完整可用
勒索病毒的特征一般都很明顯����,會加密磁盤的文件��,并在磁盤相應的目錄生成勒索提示信息文檔或彈出相應的勒索界面�,如果你發(fā)現(xiàn)你的文檔和程序無法打開,磁盤中的文件被修改����,桌面壁紙被替換,提示相應的勒索信息�,要求支付一定的贖金才能解密,說明你的電腦中了勒索病毒��。
企業(yè)中了勒索,該如何應急�����,主要從以下幾個方面入手:
(1) 隔離被感染的服務器主機
拔掉中毒主機網線�����,斷開主機與網絡的連接��,關閉主機的無線網絡WIFI�、藍牙連接等��,并拔掉主機上的所有外部存儲設備
(2) 確定被感染的范圍
查看主機中的所有文件夾���、網絡共享文件目錄�、外置硬盤��、USB驅動器���,以及主機上云存儲中的文件等�,是否已經全部加密了
(3) 確定是被哪個勒索病毒家族感染的�,在主機上進行溯源分析����,查看日志信息等
主機被勒索病毒加密之后��,會在主機上留上一些勒索提示信息�,我們可以先去加密后的磁盤目錄找到勒索提示信息,有些勒索提示信息上就有這款勒索病毒的標識��,顯示是哪一種勒索病毒��,比方GandCrab的勒索提示信息����,最開始都標明了是哪一個版本的GandCrab勒索病毒版本,可以先找勒索提示信息����,再進行溯源分析
溯源分析一般通過查看主機上保留的日志信息,以及主機上保留的樣本信息���,通過日志可以判斷此勒索病毒可能是通過哪種方式進來的����,比方發(fā)現(xiàn)文件被加密前某個時間段有大量的RDP爆破日志����,并成功通過遠程登錄過主機��,然后在主機的相應目錄發(fā)現(xiàn)了病毒樣本�,可能猜測這款勒索病毒可能是通過RDP進來的��,如果日志被刪除了���,就只能去主機上找相關的病毒樣本或可疑文件����,通過這些可疑的文件來猜測可能是通過哪種方式進來的�����,比方有些是能過銀行類木馬下載傳播的��,有些是通過遠控程序下載傳播的��,有些是通過網頁掛馬方式傳播的����,還可以去主機的瀏覽器歷史記錄中去找相關的信息等等
(4) 找到病毒樣本�,提取主機日志�,進行溯源分析之后����,關閉相應的端口、網絡共享�����、打上相應的漏洞補丁����,修改主機密碼,安裝高強度防火墻�,防病毒軟件等措施,防止被二次感染勒索
(5) 進行數(shù)據(jù)和業(yè)務的恢復�����,如果主機上的數(shù)據(jù)存在備份�����,則可以還原備份數(shù)據(jù)��,恢復業(yè)務���,如果主機上的數(shù)據(jù)沒有備份����,可以在確定是哪種勒索病毒家族之后,查找相應的解密工具�����,解密工具網站可以看我上一篇文章中提到的�����,事實上現(xiàn)在大部分流行勒索病毒并沒有解密工具�����,如果數(shù)據(jù)比較重要��,業(yè)務又急需恢復�,可以考慮使用下面方式嘗試恢復數(shù)據(jù)和業(yè)務:
現(xiàn)在很多勒索病毒都使用郵件或解密網站,要求受害者通過這些網站進行解密操作��,而且都是使用BTC進行交易���,而且功能非常完善��,下面我們就來分析一下最近很流行的Sodinokibi勒索病毒的解密網站��,如下所示:
網站的主機提示你被加密了��,需要支持0.24790254的BTC(=2500美元)��,如果超過了時間限制���,則可能需要支付0.49580508的BTC(=5000美元)
黑客還擔心受害者不知道BTC是啥,事實上國內有些企業(yè)中了勒索,想交贖金���,但不知道BTC從哪里來�,于時黑客就給出了詳細的步驟教受害者如何進行解密��,以及如果購買BTC操作等����,如下所示:
黑客還建議了受害者通過https://www.blockchain.com/explorer這個網站注冊BTC錢包,然后購買相應的BTC����,再將BTC轉入黑客的BTC錢包帳戶,同時黑客還提示了使用多種方式可以購買BTC的鏈接�,如下所示:
還貼出來了相應的鏈接,指導受害者如何購買BTC的詳細教程等等����,如下所示:
同時黑客還怕受害者不相信可以解密,可以幫受害者免費解密幾個文件����,但不包含大的數(shù)據(jù)文件,只能是10MB以下的���,如下所示:
BTC注冊網站:https://www.blockchain.com
BTC購買鏈接:
https://www.coinmama.com/
https://www.korbit.co.kr/
https://www.coinfloor.co.uk/
https://coinfinity.co/
https://www.bitpanda.com/en
https://btcdirect.eu/
https://www.paymium.com/
https://bity.com/
https://www.coincorner.com/
https://www.happycoins.com
https://www.bitfinex.com/
https://poloniex.com/
https://cex.io/
https://www.huobi.com/
https://bittylicious.com/
https://coincafe.com/
https://www.coinhouse.com
https://safello.com/
https://localbitcoins.com/
https://www.virwox.com/
https://www.bitquick.co/
https://wallofcoins.com
https://libertyx.com
https://bitit.io/
https://coinatmradar.com/
BTC如何購買:
黑客還開通了聊天窗口�����,可以跟黑客進行溝通協(xié)商�,討價還價等等�,如下所示:
從上面可以看出黑客為了讓受害者能交付贖金,做了一個專門的網站進行指導�����,可以看出這款勒索病毒背后一定是有一支強大的運營團隊
最后友善提醒:
不建議企業(yè)向黑客支付BTC�����,也不建議企業(yè)找第三方中介解密��,因為這樣會促長這個行業(yè)的不斷增加�,現(xiàn)在大部分勒索病毒無法解密,請各企業(yè)做好相應的防范措施���,按上面的一些指導方法和建議進行勒索病毒的防御�����,勒索病毒的重點在于防御!
江蘇國駿為您提供全面可信的信息安全服務
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
長按二維碼關注我們
