勒索病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來(lái)巨大損失。本文主要給大家遭遇勒索病毒后的應(yīng)急流程分享。

勒索病毒簡(jiǎn)介

勒索病毒是伴隨數(shù)字貨幣興起的一種新型病毒木馬，機(jī)器一旦遭受勒索病毒攻擊，將會(huì)使絕大多數(shù)文件被加密算法修改，并添加一個(gè)特殊的后綴，且受害者無(wú)法讀取原本正常的文件，從而造成無(wú)法估量的損失。勒索病毒通常利用非對(duì)稱加密算法和對(duì)稱加密算法組合的形式來(lái)加密文件。絕大多數(shù)勒索病毒均無(wú)法通過(guò)技術(shù)手段解密，必須拿到對(duì)應(yīng)的解密私鑰才有可能無(wú)損還原被加密文件。攻擊者正是通過(guò)這樣的行為向受害者勒索高昂的贖金，這些贖金必須通過(guò)數(shù)字貨幣支付，一般無(wú)法溯源，因此危害巨大。

常見(jiàn)勒索病毒種類

（1）LockBit：LockBit于 2019 年 9 月首次以 ABCD勒索軟件的形式出現(xiàn)，2021年發(fā)布2.0版本，相比第一代，LockBit 2.0號(hào)稱是世界上最快的加密軟件，加密100GB的文件僅需4分半鐘。經(jīng)過(guò)多次改進(jìn)成為當(dāng)今最多產(chǎn)的勒索軟件系列之一。LockBi使用勒索軟件即服務(wù) (RaaS)模型，并不斷構(gòu)思新方法以保持領(lǐng)先于競(jìng)爭(zhēng)對(duì)手。它的雙重勒索方法也給受害者增加了更大的壓力（加密和竊取數(shù)據(jù)），據(jù)作者介紹和情報(bào)顯示LockBi3.0版本已經(jīng)誕生，并且成功地勒索了很多企業(yè)。

（2）Gandcrab/Sodinokibi/REvil：REvil勒索軟件操作，又名Sodinokibi，是一家臭名昭著的勒索軟件即服務(wù) (RaaS) 運(yùn)營(yíng)商，可能位于獨(dú)聯(lián)體國(guó)家（假裝不是老毛子）。它于 2019 年作為現(xiàn)已解散的 GandCrab 勒索軟件的繼任者出現(xiàn)，并且是暗網(wǎng)上最多產(chǎn)的勒索軟件之一，其附屬機(jī)構(gòu)已將目標(biāo)鎖定全球數(shù)千家技術(shù)公司、托管服務(wù)提供商和零售商,一直保持著60家合作商的模式。（2021年暫停止運(yùn)營(yíng)，抓了一部分散播者）。

（3）Dharma/CrySiS/Phobos：Dharma勒索軟件最早在 2016 年初被發(fā)現(xiàn)， 其傳播方式主要為 RDP 暴力破解和釣魚郵件，經(jīng)研究發(fā)現(xiàn) Phobos勒索軟件、CrySiS勒索軟件與 Dharma勒索軟件有 許多相似之處，故懷疑這幾款勒索軟件的 作者可能是同一組織。

（4）Globelmposter（十二生肖）：Globelmposter又名十二生肖，十二主神，十二…他于2017年開(kāi)始活躍，2019年前后開(kāi)始對(duì)勒索程序進(jìn)行了大的改版變更。攻擊者具有一定的地域劃分，比如國(guó)內(nèi)最常見(jiàn)的一個(gè)攻擊者郵箱為China.Helper@aol.com

（5）WannaRen（已公開(kāi)私鑰）：WannaRen勒索家族的攻擊報(bào)道最早于2020年4月，通過(guò)下載站進(jìn)行傳播，最終在受害者主機(jī)上運(yùn)行，并加密幾乎所有文件；同時(shí)屏幕會(huì)顯示帶有勒索信息的窗口，要求受害者支付贖金，但WannaRen始終未獲得其要求的贖金金額，并于幾天后公開(kāi)密鑰。

（6）Conti：Conti勒索家族的攻擊最早追蹤到2019年，作為“勒索軟件即服務(wù)（RaaS）”，其幕后運(yùn)營(yíng)團(tuán)伙管理著惡意軟件和Tor站點(diǎn)，然后通過(guò)招募合作伙伴執(zhí)行網(wǎng)絡(luò)漏洞和加密設(shè)備。在近期，因?yàn)榉众E不均，合作伙伴多次反水，直接爆料攻擊工具、教學(xué)視頻、以及部分源代碼。

（7）WannaCry：WannaCry（又叫Wanna Decryptor），一種“蠕蟲式”的勒索病毒軟件，由不法分子利用NSA（National Security Agency，美國(guó)國(guó)家安全局）泄露的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）進(jìn)行傳播，WannaCry的出現(xiàn)也為勒索病毒開(kāi)啟了新的篇章。

（8）其他家族：當(dāng)然，勒索病毒的家族遠(yuǎn)遠(yuǎn)不止如此。

勒索病毒常見(jiàn)利用漏洞

勒索病毒常用利用一些已知的漏洞快速傳播

  下面是一些經(jīng)常使用的漏洞

 如何判斷是何種類型的勒索病毒

（1）通過(guò)加密格式來(lái)判斷
（2）通過(guò)桌面的形式來(lái)判斷
（3）通過(guò)勒索者的郵箱來(lái)判斷家族
（4）通過(guò)勒索者留下的勒索信為例
（5）通過(guò)微步云沙箱/威脅情報(bào)/暗網(wǎng)論壇

勒索病毒的解密方式

1）入侵攻擊者的服務(wù)器，獲取加密密鑰，然后解密。該方式難度高

2）勒索病毒加密算法設(shè)計(jì)存在問(wèn)題，可以通過(guò)缺陷進(jìn)行解密。如2018年年底的“微信支付”勒索病毒，加密密鑰存放在了本地，故很快被破解

3）暴力破解密鑰

4）支付贖金（不建議）

下面是常見(jiàn)的一些可解密的勒索病毒

勒索病毒常規(guī)處置方式

下面來(lái)看看當(dāng)面臨勒索病毒時(shí)，如何進(jìn)行處置。

1.隔離被感染的服務(wù)器/主機(jī)

為了防止病毒的傳播，發(fā)現(xiàn)勒索病毒的第一時(shí)間應(yīng)該隔離被感染的服務(wù)器/主機(jī)。

在確認(rèn)服務(wù)器/主機(jī)感染勒索病毒后，應(yīng)立即隔離被感染服務(wù)器/主機(jī)，防止病毒繼續(xù)感染其他服務(wù)器/主機(jī)。隔離可主要采取以下兩種手段：

（1）物理隔離主要為斷網(wǎng)或斷電，關(guān)閉服務(wù)器/主機(jī)的無(wú)線網(wǎng)絡(luò)、藍(lán)牙連接等，禁用網(wǎng)卡，并拔掉服務(wù)器/主機(jī)上的所有外部存儲(chǔ)設(shè)備；

（2）訪問(wèn)控制主要是指對(duì)訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格認(rèn)證和控制，常用的操作方法是加策略和修改登錄密碼。

2.排查業(yè)務(wù)系統(tǒng)

業(yè)務(wù)系統(tǒng)的受影響程度直接關(guān)系著事件的風(fēng)險(xiǎn)等級(jí)。在隔離被感染服務(wù)器/主機(jī)后，應(yīng)對(duì)局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利恢復(fù)文件。

因此，在確認(rèn)服務(wù)器/主機(jī)感染勒索病毒，并確認(rèn)已經(jīng)將其隔離的情況下，應(yīng)立即對(duì)核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查。

注意，在完成以上基本操作后，為了避免造成更大的損失，建議在第一時(shí)間聯(lián)系專業(yè)技術(shù)人員或安全從業(yè)人員，對(duì)勒索病毒的感染時(shí)間、傳播方法、感染種類等問(wèn)題進(jìn)行系統(tǒng)排查。

3.確定勒索病毒種類

勒索病毒在感染服務(wù)器/主機(jī)后，攻擊者通常會(huì)留下勒索提示信息。受害者可以先從被加密的磁盤目錄中尋找勒索提示信息，一些提示信息中會(huì)包含勒索病毒的標(biāo)識(shí)，由此可直接判斷本次感染的是哪一類勒索病毒，再通過(guò)勒索病毒處置工具查看是否能夠解密。

4.溯源分析

溯源分析一般需要查看服務(wù)器/主機(jī)上保留的日志和樣本。通過(guò)日志可以判斷出勒索病毒可能通過(guò)哪種方法侵入服務(wù)器/主機(jī)，如果日志被刪除，就需要在服務(wù)器/主機(jī)上尋找相關(guān)的病毒樣本或可疑文件，再通過(guò)這些可疑文件判斷病毒的入侵途徑。當(dāng)然，也可以直接使用專業(yè)的日志分析工具或聯(lián)系專業(yè)技術(shù)人員進(jìn)行日志及樣本分析。

5.恢復(fù)數(shù)據(jù)和業(yè)務(wù)

在服務(wù)器/主機(jī)上如果存在數(shù)據(jù)備份，那么可以通過(guò)還原備份數(shù)據(jù)的方式直接恢復(fù)業(yè)務(wù)；如果沒(méi)有數(shù)據(jù)備份，那么在確定是哪種勒索病毒之后，可通過(guò)查找相應(yīng)的解密工具進(jìn)行數(shù)據(jù)恢復(fù)；如果數(shù)據(jù)比較重要，并且業(yè)務(wù)急需恢復(fù)，還可以嘗試使用以下方法：

（1）使用磁盤數(shù)據(jù)恢復(fù)手段，恢復(fù)被刪除的文件；

（2）向第三方解密中介、安全公司尋求幫助。

防護(hù)建議

1）服務(wù)器、終端防護(hù)

（1）所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜密碼策略，杜絕弱密碼；

（2）杜絕使用通用密碼管理所有機(jī)器；

（3）安裝殺毒軟件、終端安全管理軟件，并及時(shí)更新病毒庫(kù)；

（4）及時(shí)安裝漏洞補(bǔ)丁；

（5）服務(wù)器開(kāi)啟關(guān)鍵日志收集功能，為安全事件的追蹤溯源提供支撐。

2）網(wǎng)絡(luò)防護(hù)與安全監(jiān)測(cè)

（1）對(duì)內(nèi)網(wǎng)的安全域進(jìn)行合理劃分，各個(gè)安全域之間嚴(yán)格限制訪問(wèn)控制列表（ACL），限制橫向移動(dòng)的范圍；

（2）重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫(kù)應(yīng)設(shè)置獨(dú)立的安全區(qū)域，并做好區(qū)域邊界的安全防御工作，嚴(yán)格限制重要區(qū)域的訪問(wèn)權(quán)限，并關(guān)閉Telnet、Snmp等不必要、不安全的服務(wù)；

（3）在網(wǎng)絡(luò)內(nèi)架設(shè)IDS/IPS設(shè)備，及時(shí)發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動(dòng)行為；

（4）在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備，以發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動(dòng)行為，并為追蹤溯源提供支撐。

3）應(yīng)用系統(tǒng)防護(hù)及數(shù)據(jù)備份

（1）需要對(duì)應(yīng)用系統(tǒng)進(jìn)行安全滲透測(cè)試與加固，保障應(yīng)用系統(tǒng)自身安全可控；

（2）對(duì)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份，并定期驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性；

（3）建立安全災(zāi)備預(yù)案，一旦核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用，同時(shí)，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，避免主系統(tǒng)。

總結(jié)

應(yīng)對(duì)勒索病毒最好的方法就是定時(shí)對(duì)重要文件進(jìn)行備份，這樣及時(shí)中了勒索病毒也可以進(jìn)行快速的恢復(fù)。藍(lán)隊(duì)云作為扎根云南本土的云計(jì)算及網(wǎng)絡(luò)安全服務(wù)商，擁有一支專業(yè)的安全團(tuán)隊(duì)，能夠?yàn)檎髥挝惶峁┩晟频陌踩?wù)。企業(yè)中了勒索病毒，藍(lán)隊(duì)云將依據(jù)完善的服務(wù)流程，開(kāi)啟應(yīng)急處理。此外，藍(lán)隊(duì)云還提供風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、攻防演練、等保合規(guī)、密評(píng)改造等各類安全服務(wù)。