值得收藏!勒索病毒應急響應自救手冊
前言:為幫助更多的政企機構,在遭遇網路安全事件時,能夠正確處置突發的勒索病毒,及時採取必要的自救措施,阻止損失擴大,為等待專業救援爭取時間。360安服團隊結合1000餘次客戶現場救援的實踐經驗,整理了《勒索病毒應急響應自救手冊》,希望能對廣大政企客戶有所幫助。
第一章 常見勒索病毒種類介紹
自2017年「永恆之藍」勒索事件之後,勒索病毒愈演愈烈,不同類型的變種勒索病毒層出不窮。
勒索病毒傳播素以傳播方式塊,目標性強著稱,傳播方式多見於利用「永恆之藍」漏洞、爆破、釣魚郵件等方式傳播。同時勒索病毒文件一旦被用戶點擊打開,進入本地,就會自動運行,同時刪除勒索軟體樣本,以躲避查殺和分析。所以,加強對常見勒索病毒認知至關重要。如果在日常工作中,發現存在以下特徵的文件,需務必謹慎。由於勒索病毒種類多至上百種,因此特整理了近期流行的勒索病毒種類、特徵及常見傳播方式,供大家參考了解:
WannaCry勒索
2017年5月12日,WannaCry勒索病毒全球大爆發,至少150個國家、30萬名用戶中招,造成損失達80億美元。WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。受害者電腦被黑客鎖定後,病毒會提示需要支付相應贖金方可解密。
常見後綴:wncry
傳播方式:永恆之藍漏洞
特徵: 啟動時會連接一個不存在url
創建系統服務mssecsvc2.0
釋放路徑為Windows目錄
GlobeImposter勒索
2017年出現,2018年8月21日起,多地發生GlobeImposter勒索病毒事件,攻擊目標主要是開始遠程桌面服務的伺服器,攻擊者通過暴力破解伺服器密碼,對內網伺服器發起掃描並人工投放勒索病毒,導致文件被加密多個版本更新,並常通過爆破RDP後手工投毒傳播,暫無法解密。
常見後綴:auchentoshan、動物名+4444
傳播方式:
- RDP爆破
- 垃圾郵件
- 捆綁軟體
特徵:釋放在%appdata%或%localappdata%
Crysis/Dharma勒索
最早出現在2016年,在2017年5月萬能密鑰被公佈之後,消失了一段時間,但在2017年6月後開始繼續更新。攻擊方法同樣是通過遠程RDP爆力破解的方式,植入到用戶的伺服器進行攻擊,其加密後的文件的後綴名為.java,由於CrySiS採用AES+RSA的加密方式,最新版本無法解密。
常見後綴:【id】+勒索郵箱+特定後綴
傳播方式:RDP爆破
特徵:勒索信位置在startup目錄
樣本位置在%windir%System32
Startup目錄
%appdata%目錄
GandCrab勒索
2018年年初面世,作者長時間多個大版本更新,僅僅半年的時候,就連續出現了V1.0,V2.0,V2.1,V3.0,V4.0等變種,病毒採用Salsa20和RSA-2048演算法對文件進行加密,並修改文件後綴為.GDCB、.GRAB、.KRAB或5-10位隨機字母,並將感染主機桌面背景替換為勒索信息圖片。GandCrab5.1之前版本可解密,最新GandCrab5.2無法解密。
常見後綴:隨機生成
傳播方式:
- RDP爆破
- 釣魚郵件
- 捆綁軟體
- 殭屍網路
- 漏洞傳播
- ……
特徵:
- 樣本執行完畢後自刪除
- 修改操作系統桌面背景
- 後綴-MANUAL.txt
- 後綴-DECRYPT.txt
Satan勒索
撒旦(Satan)勒索病毒首次出現2017年1月份。該勒索進行Windows&Linux雙平臺攻擊,最新版本攻擊成功後,會加密文件並修改文件後綴為「evopro」。除了通過RDP爆破外,一般還通過多個漏洞傳播。
常見後綴:
- evopro
- sick
- …
傳播方式:
- 永恆之藍漏洞
- RDP爆破
- JBOSS系列漏洞
- Tomcat系列漏洞
- Weblogic組件漏洞
- ……
特徵:最新變種evopro暫時無法解密,老的變種可解密
Sacrab勒索
Scarab(聖甲蟲)惡意軟體於2017年6月首次發現。此後,有多個版本的變種陸續產生並被發現。最流行的一個版本是通過Necurs殭屍網路進行分發,使用Visual C語言編寫而成,又見於垃圾郵件和RDP爆破等方式。在針對多個變種進行脫殼之後,我們發現有一個2017年12月首次發現的變種Scarabey,其分發方式與其他變種不同,並且它的有效載荷代碼也並不相同。
常見後綴:
- .krab
- .Sacrab
- .bomber
- .Crash
- ……
傳播方式:
- Necurs殭屍網路
- RDP爆破
- 垃圾郵件
- ……
特徵:樣本釋放%appdata%Roaming
Matrix勒索
目前為止變種較多的一種勒索,該勒索病毒主要通過入侵遠程桌面進行感染安裝,黑客通過暴力枚舉直接連入公網的遠程桌面服務從而入侵伺服器,獲取許可權後便會上傳該勒索病毒進行感染,勒索病毒啟動後會顯示感染進度等信息,在過濾部分系統可執行文件類型和系統關鍵目錄後,對其餘文件進行加密,加密後的文件會被修改後綴名為其郵箱。
常見後綴:
- .GRHAN
- .PRCP
- .SPCT
- .PEDANT
- …
傳播方式:RDP爆破
STOP勒索
同Matrix勒索類似,Stop勒索病毒也是一個多變種的勒索木馬,一般通過垃圾郵件、捆綁軟體和RDP爆破進行傳播,在某些特殊變種還會釋放遠控木馬。
常見後綴:
- .TRO
- .djvu
- .puma
- .pumas
- .pumax
- .djvuq
- …
特徵:
- 樣本釋放在%appdata%local<隨機名稱>
- 可能會執行計劃任務
Paradise勒索
Paradise勒索最早出現在2018年7月下旬,最初版本會附加一個超長後綴如:(_V.0.0.0.1{[email protected]}.dp)到原文件名末尾,在每個包含加密文件的文件夾都會生成一個勒索信如下:
而後續活躍及變種版本,採用了Crysis/Dharma勒索信樣式圖彈窗如:
勒索信如下樣式
加密文件後綴:文件名_%ID字元串%_{勒索郵箱}.特定後綴
特徵:將勒索彈窗和自身釋放到Startup啟動目錄
第二章 如何判斷病情
如何判斷伺服器中了勒索病毒呢?勒索病毒區別於其他病毒的明顯特徵:加密受害者主機的文檔和數據,然後對受害者實施勒索,從中非法謀取私利。勒索病毒的收益極高,所以大家才稱之為「勒索病毒」。
勒索病毒的主要目的既然是為了勒索,那麼黑客在植入病毒完成加密後,必然會提示受害者您的文件已經被加密了無法再打開,需要支付贖金才能恢復文件。所以,勒索病毒有明顯區別於一般病毒的典型特徵。如果伺服器出現了以下特徵,即表明已經中了勒索病毒。
業務系統無法訪問
2018年以來,勒索病毒的攻擊不再侷限於加密核心業務文件;轉而對企業的伺服器和業務系統進行攻擊,感染企業的關鍵系統,破壞企業的日常運營;甚至還延伸至生產線——生產線不可避免地存在一些遺留系統和各種硬體難以升級打補丁等原因,一旦遭到勒索攻擊的直接後果就是生產線停產。
比如:2018年2月,某三甲醫院遭遇勒索病毒,全院所有的醫療系統均無法正常使用,正常就醫秩序受到嚴重影響;同年8月,臺積電在臺灣北、中、南三處重要生產基地,均因勒索病毒入侵導致生產停擺。
但是,當業務系統出現無法訪問、生產線停產等現象時,並不能100%確定是伺服器感染了勒索病毒,也有可能是遭到DDoS攻擊或是中了其他病毒等原因所致,所以,還需要結合以下特徵來判斷。
電腦桌面被篡改
伺服器被感染勒索病毒後,最明顯的特徵是電腦桌面發生明顯變化,即:桌面通常會出現新的文本文件或網頁文件,這些文件用來說明如何解密的信息,同時桌面上顯示勒索提示信息及解密聯繫方式,通常提示信息英文較多,中文提示信息較少。
下面為電腦感染勒索病毒後,幾種典型的桌面發生變化的示意圖。
文件後綴被篡改
伺服器感染勒索病毒後,另外一個典型特徵是:辦公文檔、照片、視頻等文件的圖標變為不可打開形式,或者文件後綴名被篡改。一般來說,文件後綴名會被改成勒索病毒家族的名稱或其家族代表標誌,如:GlobeImposter家族的後綴為.dream、.TRUE、.CHAK等;Satan家族的後綴.satan、sicck;Crysis家族的後綴有.ARROW、.arena等。
下面為電腦感染勒索病毒後,幾種典型的文件後綴名被篡改或文件圖標變為不可打開的示意圖。
當我們看到上述三個現象的時候,說明伺服器已經遭到勒索病毒的攻擊,此時,如果我們倉促的進行不正確的處置,反而可能會進一步擴大自己的損失。
所以,請保持冷靜不要驚慌失措,現在我們需要做的是如何最大化的減少損失,並阻止黑客繼續去攻擊其他伺服器。具體操作步驟請見下一章。
第三章 如何進行自救
當我們已經確認感染勒索病毒後,應當及時採取必要的自救措施。之所以要進行自救,主要是因為:等待專業人員的救助往往需要一定的時間,採取必要的自救措施,可以減少等待過程中,損失的進一步擴大。例如:與被感染主機相連的其他伺服器也存在漏洞或是有缺陷,將有可能也被感染。所以,採取自救措施的目的是為了及時止損,將損失降到最低。
- 正確處置方法
(一) 隔離中招主機
處置方法
當確認伺服器已經被感染勒索病毒後,應立即隔離被感染主機,隔離主要包括物理隔離和訪問控制兩種手段,物理隔離主要為斷網或斷電;訪問控制主要是指對訪問網路資源的許可權進行嚴格的認證和控制。
- 物理隔離
物理隔離常用的操作方法是斷網和關機。
斷網主要操作步驟包括:拔掉網線、禁用網卡,如果是筆記本電腦還需關閉無線網路。
- 訪問控制
訪問控制常用的操作方法是加策略和修改登錄密碼。
加策略主要操作步驟為:在網路側使用安全設備進行進一步隔離,如防火牆或終端安全監測系統;避免將遠程桌面服務(RDP,默認埠為3389)暴露在公網上(如為了遠程運維方便確有必要開啟,則可通過VPN登錄後才能訪問),並關閉445、139、135等不必要的埠。
修改登錄密碼的主要操作為:立刻修改被感染伺服器的登錄密碼;其次,修改同一區域網下的其他伺服器密碼;第三,修改最高級系統管理員賬號的登錄密碼。修改的密碼應為高強度的複雜密碼,一般要求:採用大小寫字母、數字、特殊符號混合的組合結構,口令位數足夠長(15位、兩種組合以上)。
處置原理
隔離的目的,一方面是為了防止感染主機自動通過連接的網路繼續感染其他伺服器;另一方面是為了防止黑客通過感染主機繼續操控其他伺服器。
有一類勒索病毒會通過系統漏洞或弱密碼向其他主機進行傳播,如WannaCry勒索病毒,一旦有一臺主機感染,會迅速感染與其在同一網路的其他電腦,且每臺電腦的感染時間約為1-2分鐘左右。所以,如果不及時進行隔離,可能會導致整個區域網主機的癱瘓。
另外,近期也發現有黑客會以暴露在公網上的主機為跳板,再順藤摸瓜找到核心業務伺服器進行勒索病毒攻擊,造成更大規模的破壞。
當確認伺服器已經被感染勒索病毒後,應立即隔離被感染主機,防止病毒繼續感染其他伺服器,造成無法估計的損失。
(二) 排查業務系統
處置方法
在已經隔離被感染主機後,應對區域網內的其他機器進行排查,檢查覈心業務系統是否受到影響,生產線是否受到影響,並檢查備份系統是否被加密等,以確定感染的範圍。
處置原理
業務系統的受影響程度直接關係著事件的風險等級。評估風險,及時採取對應的處置措施,避免更大的危害。
另外,備份系統如果是安全的,就可以避免支付贖金,順利的恢復文件。
所以,當確認伺服器已經被感染勒索病毒後,並確認已經隔離被感染主機的情況下,應立即對核心業務系統和備份系統進行排查。
(三) 聯繫專業人員
在應急自救處置後,建議第一時間聯繫專業的技術人士或安全從業者,對事件的感染時間、傳播方式,感染家族等問題進行排查。
個人中招用戶可以:通過360安全衛士的反勒索服務,聯繫專業人士。用戶在進入「360安全衛士」-「反勒索服務」選項後,需要同時開啟360文檔保護和360反勒索服務。開啟這兩項服務後,若您被感染勒索病毒,點擊「申請服務」按鈕即可申請理賠。
政企機構中招客戶可以聯繫:360企業安全集團,全國400應急熱線:4008 136 360 轉2 轉4。
錯誤處置方法
(一) 使用移動存儲設備
錯誤操作
當確認伺服器已經被感染勒索病毒後,在中毒電腦上使用U盤、移動硬碟等移動存儲設備。
錯誤原理
勒索病毒通常會對感染電腦上的所有文件進行加密,所以當插上U 盤或移動硬碟時,也會立即對其存儲的內容進行加密,從而造成損失擴大。從一般性原則來看,當電腦感染病毒時,病毒也可能通過U盤等移動存儲介質進行傳播。
所以,當確認伺服器已經被感染勒索病毒後,切勿在中毒電腦上使用U盤、移動硬碟等設備。
(二) 讀寫中招主機上的磁碟文件
錯誤操作
當確認伺服器已經被感染勒索病毒後,輕信網上的各種解密方法或工具,自行操作。反覆讀取磁碟上的文件後反而降低數據正確恢復的概率。
錯誤原理
很多流行勒索病毒的基本加密過程為:
- 首先,將保存在磁碟上的文件讀取到內存中;
- 其次,在內存中對文件進行加密;
- 最後,將修改後的文件重新寫到磁碟中,並將原始文件刪除。
也就是說,很多勒索病毒在生成加密文件的同時,會對原始文件採取刪除操作。理論上說,使用某些專用的數據恢復軟體,還是有可能部分或全部恢復被加密文件的。
而此時,如果用戶對電腦磁碟進行反覆的讀寫操作,有可能破壞磁碟空間上的原始文件,最終導致原本還有希望恢復的文件徹底無法恢復。
第四章 如何恢復系統
感染勒索病毒後,對於政企機構來說,最重要的就是怎麼恢復被加密的文件了。一般來說,可以通過歷史備份、解密工具或支付贖金來恢復被感染的系統。但是這三種操作都有一定的難度,因此,建議受害者不要自行操作。如果您想恢復系統,請聯繫專業的技術人員或安全廠商,確保贖金的支付和解密過程正確進行,避免其他不必要的損失。
歷史備份還原
如果事前已經對文件進行了備份,那麼我們將不會再擔憂和煩惱。可以直接從雲盤、硬碟或其他災備系統中,恢復被加密的文件。值得注意的是,在文件恢復之前,應確保系統中的病毒已被清除,已經對磁碟進行格式化或是重裝系統,以免插上移動硬碟的瞬間,或是網盤下載文件到本地後,備份文件也被加密。
事先進行備份,既是最有效也是成本最低的恢復文件的方式。
解密工具恢復
絕大多數勒索病毒使用的加密演算法都是國際公認的標準演算法,這種加密方式的特點是,只要加密密鑰足夠長,普通電腦可能需要數十萬年纔能夠破解,破解成本是極高的。通常情況,如果不支付贖金是無法解密恢復文件的。
但是,對於以下三種情況,可以通過360提供的解密工具恢復感染文件。
- 勒索病毒的設計編碼存在漏洞或並未正確實現加密演算法
- 勒索病毒的製造者主動發布了密鑰或主密鑰。
- 執法機構查獲帶有密鑰的伺服器,並進行了分享。
可以通過網站(http://lesuobingdu.360.cn/)查詢哪些勒索病毒可以解密。例如:今年下半年大規模流行的GandCrab家族勒索病毒,GandCrabV5.0.3及以前的版本可以通過360解密大師進行解密。
需要注意的是:使用解密工具之前,務必要備份加密的文件,防止解密不成功導致無法恢複數據。
專業人員代付
勒索病毒的贖金一般為比特幣或其他數字貨幣,數字貨幣的購買和支付對一般用戶來說具有一定的難度和風險。具體主要體現在:
- 統計顯示,95%以上的勒索病毒攻擊者來自境外,由於語言不通,容易在溝通中產生誤解,影響文件的解密。
- 數字貨幣交付需要在特定的交易平臺下進行,不熟悉數字貨幣交易時,容易人才兩空。
所以,即使支付贖金可以解密,也不建議自行支付贖金。請聯繫專業的安全公司或數據恢復公司進行處理,以保證數據能成功恢復。
重裝系統
當文件無法解密,也覺得被加密的文件價值不大時,也可以採用重裝系統的方法,恢復系統。但是,重裝系統意味著文件再也無法被恢復。另外,重裝系統後需更新系統補丁,並安裝殺毒軟體和更新殺毒軟體的病毒庫到最新版本,而且對於伺服器也需要進行針對性的防黑加固。
第五章 如何加強防護
終端用戶安全建議
對於普通終端用戶,我們給出以下建議,以幫助用戶免遭勒索病毒的攻擊:
養成良好的安全習慣
- 電腦應當安裝具有雲防護和主動防禦功能的安全軟體,不隨意退出安全軟體或關閉防護功能,對安全軟體提示的各類風險行為不要輕易放行。
- 使用安全軟體的第三方打補丁功能對系統進行漏洞管理,第一時間給操作系統和IE、Flash等常用軟體打好補丁,定期更新病毒庫,以免病毒利用漏洞自動入侵電腦。
- 對系統用戶密碼及時進行更改,並使用LastPass等密碼管理器對相關密碼進行加密存儲,避免使用本地明文文本的方式進行存儲。系統相關用戶杜絕使用弱口令,同時,應該使用高複雜強度的密碼,8位以上盡量包含大小寫字母、數字、特殊符號等的混合密碼,加強運維人員安全意識,禁止密碼重用的情況出現,並定期對密碼進行更改。
- 重要文檔數據應經常做備份,一旦文件損壞或丟失,也可以及時找回。
減少危險的上網操作
- 不要瀏覽來路不明的色情、賭博等不良信息網站,這些網站經常被用於發動掛馬、釣魚攻擊。
- 不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。
- 不要輕易打開後綴名為js、vbs、wsf、bat等腳本文件和exe、scr等可執行程序,對於陌生人發來的壓縮文件包,更應提高警惕,應先掃毒後打開。
- 電腦連接移動存儲設備,如U盤、移動硬碟等,應首先使用安全軟體檢測其安全性。
- 對於安全性不確定的文件,可以選擇在安全軟體的沙箱功能中打開運行,從而避免木馬對實際系統的破壞。
採取及時的補救措施
- 安裝「360安全衛士」並開啟「反勒索服務」,一旦電腦被勒索病毒感染,可以通過360反勒索服務申請贖金賠付,以儘可能的減小自身經濟損失。
政企用戶安全建議
- 如用戶處存在虛擬化環境,建議用戶安裝360網神虛擬化安全管理系統,進一步提升防惡意軟體、防暴力破解等安全防護能力。
- 安裝天擎等終端安全軟體,及時給辦公終端打補丁修復漏洞,包括操作系統以及第三方應用的補丁。
- 針對政企用戶的業務伺服器,除了安裝殺毒軟體還需要部署安全加固軟體,阻斷黑客攻擊。
- 企業用戶應採用足夠複雜的登錄密碼登錄辦公系統或伺服器,並定期更換密碼,嚴格避免多臺伺服器共用同一個密碼。
- 限制內網主機可進行訪問的網路、主機範圍。有效加強訪問控制ACL策略,細化策略粒度,按區域按業務嚴格限制各個網路區域以及伺服器之間的訪問,採用白名單機制只允許開放特定的業務必要埠,其他埠一律禁止訪問,僅管理員IP可對管理埠進行訪問,如FTP、資料庫服務、遠程桌面等管理埠。
- 對重要數據和核心文件及時進行備份,並且備份系統與原系統隔離,分別保存。
- 部署天眼等安全設備,增加全流量威脅檢測手段,實時監測威脅、事件。
- 如果沒有使用的必要,盡量關閉3389、445、139、135等不用的高危埠,建議內網部署堡壘機類似的設備,並只允許堡壘機IP訪問伺服器的遠程管理埠(445、3389、22)。
- 提高安全運維人員職業素養,除工作電腦需要定期進行木馬病毒查殺外,如有遠程家中辦公電腦也需要定期進行病毒木馬查殺。
- 提升新興威脅對抗能力
通過對抗式演習,從安全的技術、管理和運營等多個維度出發,對企業的互聯網邊界、防禦體系及安全運營制度等多方面進行模擬檢驗,持續提升企業對抗新興威脅的能力。
第六章 附錄:勒索病毒已知被利用漏洞合集
原文鏈接:勒索病毒應急響應 自救手冊(第二版)
推薦閱讀:
