勒索病毒事件愈來愈多

近期針對傳統(tǒng)行業(yè)的勒索病毒攻擊事件愈來愈多，甚至一天內(nèi)會有多家同一行業(yè)的企業(yè)同時受到攻擊，造成企業(yè)業(yè)務(wù)運營中斷，個人和公司重要數(shù)據(jù)遭受破壞等嚴重安全問題。

[[358310]]

這種情況一方面說明勒索病毒攻擊已經(jīng)開始組織化和行業(yè)化，另一方面也說明傳統(tǒng)行業(yè)在信息安全方面防護能力脆弱，相比于互聯(lián)網(wǎng)、金融等行業(yè)，在信息安全管理和安全技術(shù)方面存在更多漏洞，更容易成為勒索病毒攻擊的對象。

勒索病毒危害分析

機器感染勒索病毒后，使用人員會很快發(fā)現(xiàn)許多常見的文件如word，excel，pdf等不能正常打開，異?，F(xiàn)象明顯，因此很容易發(fā)現(xiàn)并上報到IT或安全部門，如果處置及時，一般不會造成企業(yè)內(nèi)大量機器感染。

但是另一方面，由于勒索病毒使用了非對稱加密方式對機器上的所有數(shù)據(jù)文件進行加密，如果沒有對應(yīng)的解密密鑰，被加密后的文件基本不可能再被解密和還原。因此對已經(jīng)感染勒索病毒的個人電腦和服務(wù)器，如果之前沒有及時進行數(shù)據(jù)備份，可能會因為關(guān)鍵數(shù)據(jù)丟失而造成無法挽回的損失。

如何正確處置勒索病毒感染事件

根據(jù)我們之前處理勒索病毒事件總結(jié)的經(jīng)驗，企業(yè)在發(fā)現(xiàn)一臺或多臺機器感染勒索病毒后，IT人員和安全人員可按照如下流程進行正確處置(如果企業(yè)沒有設(shè)置信息安全崗位，建議立即聯(lián)系第三方專業(yè)安全服務(wù)公司協(xié)助處置)。

3.1 確認勒索病毒感染跡象

• 勒索病毒感染后，桌面或文件夾通常會出現(xiàn)類似how_to_decrypt.hta網(wǎng)頁文件，可通過瀏覽器打開，主要是英文信息，顯示勒索提示信息及解密聯(lián)系方式等;
• 同時很多文件被加上亂七八糟的帶有勒索病毒攻擊者郵箱地址信息的后綴名，文件不能被正常打開;(類似如下截圖)

3.2 隔離已感染機器，避免勒索病毒進一步擴散

對存在上述勒索病毒感染跡象的機器，應(yīng)立即實施網(wǎng)絡(luò)或物理隔離，避免勒索病毒通過公司有線和無線網(wǎng)絡(luò)繼續(xù)傳播。隔離方法包括：

• 已感染的無線上網(wǎng)機器，禁用無線網(wǎng)卡;
• 已感染的有線上網(wǎng)用戶，禁用有線網(wǎng)卡，同時拔掉機器的物理網(wǎng)線;
• 如果同一網(wǎng)段有多臺機器感染，可通過交換機進行斷網(wǎng)，或修改無線網(wǎng)絡(luò)密碼;
• 已感染關(guān)鍵崗位電腦和重要服務(wù)器，立即關(guān)機，避免勒索病毒進一步加密所有文件;
• 專人整理感染機器列表，供后續(xù)處置;

3.3 對暫未感染勒索病毒的機器進行加固，防止可能的感染途徑

勒索病毒感染一臺機器后，會通過文件共享、操作系統(tǒng)遠程利用漏洞、賬號弱密碼等方式，進一步獲取其它機器或AD服務(wù)器的賬號，從而進行全網(wǎng)絡(luò)感染。

對暫未明確發(fā)現(xiàn)感染勒索病毒跡象的機器，基于勒索病毒的傳播方法和傳播途徑，可采取一些基本的安全措施快速進行防護，避免感染。這些安全措施包括：

• 修改個人電腦、應(yīng)用服務(wù)器、域控服務(wù)器登錄密碼，修改為強密碼;
• 禁用guest賬號;
• 統(tǒng)一關(guān)閉139、445端口，關(guān)閉RDP服務(wù);
• 安裝360、火絨等防病毒軟件進行防護和查殺;
• 更新操作系統(tǒng)安全補丁;

3.4 分析已感染機器，提取病毒特征

如果能夠快速定位出勒索病毒文件特征(如進程名稱，執(zhí)行路徑，文件大小，md5值，自啟動位置，進程保護文件等)，可立即開始全網(wǎng)排查，找出網(wǎng)絡(luò)內(nèi)其它已感染的機器并進行隔離，從而減少整個勒索病毒事件的處置時間，降低勒索病毒給企業(yè)帶來的危害和損失。

根據(jù)我們處置勒索病毒的經(jīng)驗，可優(yōu)先從以下幾方面進行，包括：

• 和感染機器人員進行深入溝通，如什么時間發(fā)現(xiàn)異常，之前執(zhí)行過哪些操作等，可幫助快速定位可能的病毒感染源;
• 通過任務(wù)管理器，查看CPU、內(nèi)存、IO使用率高的可疑進程(特別是文件很多的機器，勒索病毒加密需要占用大量機器資源);
• 安裝病毒查殺工具，快速查找病毒文件，如火絨、360、clamav、BitDefender等;
• 安裝其它系統(tǒng)安全工具，包括微軟提供的SysinternalsSuite安全工具(autoruns64.exe，procexp64.exe，procmon.exe，tcpview.exe等)，PCHunter，火絨劍等進行分析;

通過以上操作，安全人員應(yīng)該可以查找出勒索病毒文件和執(zhí)行進程，可進一步通過在線病毒查殺引擎快速對病毒文件進行確認，如：www.virustotal.com， www.virscan.org等網(wǎng)站。

對確認為勒索病毒的可執(zhí)行文件，可進一步通過在線沙盤快速進行行為分析，如s.threatbook.cn，app.any.run等，確認病毒行為特征。如通過微步云沙箱對某個偽裝成svchost.com文件的勒索病毒分析結(jié)果：

確認勒索病毒行為特征后，可通過停止勒索病毒進程，新建文件并觀察，啟動勒索病毒進程，查看文件是否被加密，進一步確認勒索病毒。

3.5 根據(jù)病毒特征，全網(wǎng)篩查感染機器

通過提取的勒索病毒文件名、文件路徑、文件大小、文件簽名、md5值、進程路徑和名稱等特征，可通過域控、單機或?qū)I(yè)桌面管理工具等進行操作，迅速進行全網(wǎng)排查。對存在感染勒索病毒特征的機器，進行斷網(wǎng)隔離，并刪除勒索病毒文件和進程，同時持續(xù)監(jiān)控是否繼續(xù)感染。

另外基于勒索病毒的網(wǎng)絡(luò)行為特征，可進一步通過交換機鏡像流量分析，查找網(wǎng)絡(luò)內(nèi)是否存在已感染機器。

3.6 已感染機器處置

已感染勒索病毒的機器，可通過停止勒索病毒進程，刪除保護進程或文件的方法，禁止勒索病毒運行。同時通過U盤備份未加密文件。

文件備份后，統(tǒng)一重新安裝操作系統(tǒng)，并按照安全基線進行加固和檢測后，部署應(yīng)用和恢復數(shù)據(jù)。

3.7 勒索病毒感染溯源

勒索病毒感染途徑一般包括：外網(wǎng)服務(wù)器存在漏洞(如應(yīng)用層漏洞，RCE高危補丁未更新，賬號弱密碼等)，釣魚郵件附件，長期隱藏存在的APT攻擊等。

勒索病毒溯源可通過對最初感染機器的人員操作行為和操作系統(tǒng)日志分析，企業(yè)內(nèi)網(wǎng)絡(luò)設(shè)備和安全設(shè)備日志分析等，進一步追溯原始漏洞和入侵方式。

3.8 修復感染源漏洞

如果能夠追溯到最初的感染源，可有針對性地進行安全加固。如果不能追溯到原始安全漏洞，也應(yīng)根據(jù)勒索病毒傳播方式進行安全加固，包括安全意識宣講，外網(wǎng)安全漏洞掃描和滲透，防病毒軟件安裝、安全補丁更新等。

3.9 安全事件總結(jié)

根據(jù)勒索病毒溯源結(jié)果，IT或安全負責人應(yīng)對勒索病毒感染源情況進行說明，對感染機器、數(shù)據(jù)損失、恢復情況、恢復時間和費用等進行說明。

3.10 制定后續(xù)安全加固方案

企業(yè)感染勒索病毒的根本原因必然是在安全技術(shù)或安全管理方面存在某些漏洞，如沒有安裝防病毒軟件對勒索病毒文件進行查殺，非IT部門員工缺乏基礎(chǔ)的信息安全意識，隨意保存和打開勒索病毒可執(zhí)行文件等。這些當前存在的和潛在的各種安全漏洞和安全風險需要及時處置，并最終在多層次、多階段建立一個統(tǒng)一的縱深安全防御體系。

新鈦云服可以基于安全優(yōu)秀實踐并結(jié)合企業(yè)安全現(xiàn)狀，從遠程辦公、網(wǎng)絡(luò)安全邊界、終端準入、桌面管理、防病毒、數(shù)據(jù)防泄密、日常安全服務(wù)等多方面為企業(yè)提供合適的安全防護解決方案，同時也可以在安全規(guī)范、安全意識培訓等方面提供幫助。

后記

勒索病毒越演越烈的背后原因主要還是利益驅(qū)動，針對的是企業(yè)最具價值的數(shù)據(jù)，危害的是數(shù)據(jù)的可用性。后續(xù)攻擊者更有可能利用APT攻擊，在秘密竊取企業(yè)敏感數(shù)據(jù)后，進一步加密數(shù)據(jù)進行勒索，從而最大化攻擊者價值。

對傳統(tǒng)企業(yè)領(lǐng)導者和IT管理者而言，應(yīng)能夠認識到企業(yè)信息化轉(zhuǎn)型后的IT威脅和風險影響，從而在企業(yè)信息安全建設(shè)和數(shù)據(jù)安全方面，可以給予IT部門和安全部門需要的各類安全資源，包括選擇專業(yè)的第三方安全服務(wù)廠商，進而可以從安全管理和安全技術(shù)多方面進行防范，減少和避免各類信息安全事件的發(fā)生。