2021勒索病毒應(yīng)急與響應(yīng)手冊(cè)

勒索病毒應(yīng)急與響應(yīng)手冊(cè)2021勒索病毒應(yīng)急與響應(yīng)手冊(cè)勒索病毒應(yīng)急與響應(yīng)手冊(cè)PAGE\*romanPAGE\*romanii前言勒索病毒主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播，利用各種非對(duì)稱加密算法對(duì)文件進(jìn)行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。勒索病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行。接下來，勒索病毒利用本地的互C&C殺毒軟件都具有免疫性。exe、js、wsf、vbe1234終端檢測(cè)與響應(yīng)（EDR）產(chǎn)品。通過應(yīng)用本手冊(cè)，在不同階段及時(shí)做出響應(yīng)，盡可能避免或降低損失。目錄第一章判斷當(dāng)前狀態(tài) 1感染未加密 1二感染已加密 2第二章響應(yīng)當(dāng)前狀態(tài) 4基礎(chǔ)響應(yīng)措施 4二高級(jí)響應(yīng)措施 5第三章已加密系統(tǒng)的處理辦法 7備份還原 7二解密工具 7三數(shù)據(jù)恢復(fù) 7四支付解密 7五重裝系統(tǒng) 8第四章勒索病毒的防治建議 9基礎(chǔ)防護(hù)措施及建議 9二邊界網(wǎng)絡(luò)檢測(cè)建議 10三終端防護(hù)建議：終端檢測(cè)與響應(yīng)（EDR） 12四技術(shù)支持：安恒信息安全服務(wù) 13五工控環(huán)境的適用性 15六勒索保險(xiǎn) 16勒索病毒應(yīng)急與響應(yīng)手冊(cè)勒索病毒應(yīng)急與響應(yīng)手冊(cè)第PAGE1第1頁共17頁第一章判斷當(dāng)前狀態(tài)感染未加密從攻擊者滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)的某一臺(tái)主機(jī)到執(zhí)行加密行為往往有一段時(shí)間，如果在這段時(shí)間能夠做出響應(yīng)，完全可以避免勒索事件的發(fā)生。如果有以下情況，可能是處于感染未加密狀態(tài)：監(jiān)測(cè)設(shè)備告警如果使用了監(jiān)測(cè)系統(tǒng)進(jìn)行流量分析、威脅監(jiān)測(cè)，系統(tǒng)產(chǎn)生大量告警日志，例如“SMB遠(yuǎn)程溢出攻擊”、“弱口令爆破”等，可能是病毒在嘗試擴(kuò)散。資源占用異常445CPU二感染已加密兩點(diǎn)可以判斷系統(tǒng)是否已經(jīng)被加密。統(tǒng)一的異常后綴幾百種類型的文件，基本都會(huì)包括常見的文檔、圖片、數(shù)據(jù)庫文件。當(dāng)文件夾下文件變成如下統(tǒng)一異常不可用后綴，就是已經(jīng)被加密了。勒索信或桌面被篡改文件提示，或?qū)⒗账鲌D片更改為桌面。勒索信絕大多數(shù)為英文，引導(dǎo)被勒索的用戶交贖金。第二章響應(yīng)當(dāng)前狀態(tài)基礎(chǔ)響應(yīng)措施機(jī)去攻擊同一局域網(wǎng)內(nèi)的其他主機(jī)，所以當(dāng)發(fā)現(xiàn)一臺(tái)主機(jī)已被感染，應(yīng)盡快采取響應(yīng)措施，以下基礎(chǔ)措施即使不是專業(yè)的人員也可以進(jìn)行操作，以盡可能減少損失。隔離中毒主機(jī)物理隔離斷網(wǎng)，拔掉網(wǎng)線或禁用網(wǎng)卡，筆記本也要禁用無線網(wǎng)絡(luò)。邏輯隔離135、139、445、3389遠(yuǎn)程桌面服務(wù)Administrator，Linuxroot）密碼長(zhǎng)度不少于8個(gè)字符，至少包含以下四類字符特殊符號(hào)，不能是人名、計(jì)算機(jī)名、用戶名等。排查其他主機(jī)響范圍，準(zhǔn)備事后恢復(fù)。如果存在備份系統(tǒng)且備份系統(tǒng)是安全的，就可以將損失降到最低，也可以最快的恢復(fù)業(yè)務(wù)。主機(jī)加固所以在已知局域網(wǎng)內(nèi)已有主機(jī)感染并將之隔離后，應(yīng)檢測(cè)其他主機(jī)是否有上述的問題存在。系統(tǒng)漏洞可以使用免費(fèi)的安全軟件檢測(cè)并打補(bǔ)丁。（AWVSAPPScan其他方式修復(fù)。8字符的三類：大小寫字母、數(shù)字、特殊符號(hào)，不能是人名、計(jì)算機(jī)名、用戶名等。二高級(jí)響應(yīng)措施對(duì)未知類型勒索變種，基礎(chǔ)措施的效果就十分有限。當(dāng)有數(shù)百臺(tái)甚至更多主機(jī)的場(chǎng)景感染勒索病毒，是無法逐一去采取基礎(chǔ)響應(yīng)措施，需要借助專業(yè)的安全產(chǎn)品進(jìn)行監(jiān)測(cè)、防護(hù)和專業(yè)的安全團(tuán)隊(duì)的技術(shù)支持。監(jiān)測(cè)：APT警平臺(tái)APT惡意代碼傳播、回連域名、漏洞利用等行為進(jìn)行深度解析，準(zhǔn)確定位感染源和感染主機(jī)。APTAPT查殺與防護(hù)：EDR主機(jī)安全及管理系統(tǒng)EDR防御已知及未知類型勒索病毒。部署監(jiān)控端后，通過平臺(tái)統(tǒng)一下發(fā)安全策略。具備誘餌捕獲引擎、內(nèi)核級(jí)流量隔離等行業(yè)領(lǐng)先技術(shù)。對(duì)于已知勒索病毒，通過“進(jìn)程啟動(dòng)防護(hù)引擎”零誤報(bào)零漏報(bào)查殺；對(duì)于未知勒索病毒，采用“專利級(jí)誘餌引擎”進(jìn)行捕獲，阻斷其加密行為；通過內(nèi)核級(jí)的流量隔離技術(shù)，自動(dòng)阻止勒索病毒在內(nèi)網(wǎng)擴(kuò)散或者接收遠(yuǎn)程控制端指令。技術(shù)支持：安恒信息安全服務(wù)勒索病毒應(yīng)急響應(yīng)服務(wù)索病毒的特點(diǎn)進(jìn)行相對(duì)應(yīng)的處理工作。息，例如病毒感染文件的最初時(shí)間，結(jié)合操作系統(tǒng)日志、業(yè)務(wù)系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備日志等設(shè)備日志綜合判斷和構(gòu)建這一時(shí)段信息系統(tǒng)各組件所執(zhí)行的操作，并通過內(nèi)存取證，硬盤鏡像等電子證物取證技術(shù)手段開展惡意樣本取證分析操作，從以上應(yīng)急響應(yīng)業(yè)務(wù)操作中構(gòu)建事件發(fā)展的時(shí)間線、證據(jù)鏈從而推測(cè)判斷事件發(fā)生的準(zhǔn)確原因以及病毒傳播的源頭，并進(jìn)一步根據(jù)所發(fā)現(xiàn)的各類電子證物追蹤背后攻擊者，在各項(xiàng)應(yīng)急處置過程進(jìn)展順利的情況下找出源頭設(shè)備以及對(duì)應(yīng)的攻擊者。急響應(yīng)報(bào)告不但需要對(duì)事件的描述和判斷，也會(huì)針對(duì)此類勒索病毒事件給出專業(yè)的安全加固建議以及常用的應(yīng)急處置辦法，從而在本次應(yīng)急處置過后不會(huì)在完成系統(tǒng)恢復(fù)之后再次被感染，從而造成更嚴(yán)重的影響。開展應(yīng)急響應(yīng)的常規(guī)操作過程過程主要內(nèi)容初步信息收集事發(fā)單位的網(wǎng)絡(luò)拓?fù)淝闆r單位信息系統(tǒng)人員情況針對(duì)事發(fā)系統(tǒng)的使用習(xí)慣事發(fā)信息系統(tǒng)的運(yùn)維情況上機(jī)操作操作系統(tǒng)日志提取業(yè)務(wù)系統(tǒng)訪問、操作、登錄等日志提取病毒樣本提取操作系統(tǒng)網(wǎng)絡(luò)狀態(tài)獲取文件加密狀態(tài)情況勒索內(nèi)容表現(xiàn)形式溯源操作日志分析結(jié)果病毒分析結(jié)果主機(jī)安全漏洞排查情況病毒植入方式分析病毒影響范圍與網(wǎng)絡(luò)拓?fù)渚C合判斷病毒擴(kuò)散的方向-有外網(wǎng)入侵或內(nèi)網(wǎng)系統(tǒng)相互傳播IP數(shù)據(jù)其他情況的處理情況。日志缺失情況下的分析在未取證完畢的情況下受感染服務(wù)器重裝系統(tǒng)現(xiàn)場(chǎng)要求數(shù)據(jù)恢復(fù)現(xiàn)場(chǎng)要求解密的可能性判斷給出安全加固建議第三章已加密系統(tǒng)的處理辦法備份還原（云端Windows本機(jī)備份恢復(fù)的可能性很低。異機(jī)備份如果是通過本地磁盤到共享磁盤進(jìn)行文件或者數(shù)據(jù)拷貝的方式實(shí)現(xiàn)，勒索病毒同樣有可能加密了備份文件。與感染病毒的主機(jī)不在同一局域網(wǎng)內(nèi)的異地備份系統(tǒng)最能在此時(shí)發(fā)揮作用。統(tǒng)。日常進(jìn)行合理的數(shù)據(jù)備份，是最有效的災(zāi)難恢復(fù)方法。二解密工具128對(duì)稱加密算法AES2048RSA（非對(duì)稱加密算法）學(xué)的，所以通常的解密工具是通過已公開的密鑰來解密。而密鑰來源有三種途徑：一是破解勒索程序得到，前提是勒索程序本身存在漏洞，但此概率極低。二是勒索者對(duì)受害人感到愧疚、同情等極端情況而公開密鑰。擇公開。（https:///zh/index.html）提供的解密工具。三數(shù)據(jù)恢復(fù)文件副本再刪除原文件，而原文件有些會(huì)用隨機(jī)數(shù)覆蓋，有些并沒有。原文件沒有被覆蓋的情況就可以通過數(shù)據(jù)恢復(fù)的方式進(jìn)行恢復(fù)。DiskGenius復(fù)。四支付解密勒索病毒勒索的內(nèi)容也不單單圍繞比特幣。例如20181Gandcrab家族勒索的就是更能隱藏用戶信息達(dá)世幣。注意：由于勒索病毒已呈現(xiàn)產(chǎn)業(yè)化，同時(shí)在大量的實(shí)例表明，現(xiàn)階段存在大量的變種病毒，支付贖金后，并不提供真實(shí)有效的密鑰，實(shí)際解密成功率極低。同時(shí)，但當(dāng)數(shù)據(jù)十分重要且上述其他方法都無法恢復(fù)，最終經(jīng)過綜合評(píng)判，確定需要支付贖金以嘗試解密時(shí)，也建議聽取安全專家或警方人員的建議以及綜合判斷，謹(jǐn)慎處置。五重裝系統(tǒng)軟件應(yīng)確保使用最新版本或打好補(bǔ)丁，避免漏洞被利用?？诹钜矐?yīng)符合上文中提到4勒索病毒應(yīng)急與響應(yīng)手冊(cè)勒索病毒應(yīng)急與響應(yīng)手冊(cè)第PAGE9第9頁共17頁第四章勒索病毒的防治建議病毒成功運(yùn)行后，解密較為困難，所以勒索病毒的防治主要預(yù)防為主，加強(qiáng)整體網(wǎng)EDRAPT一基礎(chǔ)防護(hù)措施及建議圾郵件，所以一定不能忽略很多基礎(chǔ)措施。增強(qiáng)安全意識(shí)圾電子郵件與捆綁惡意程序，所以日常使用網(wǎng)絡(luò)時(shí)要有以下安全意識(shí)：件或發(fā)動(dòng)釣魚、掛馬攻擊。不輕易下載陌生人發(fā)來的郵件附件，不點(diǎn)擊陌生郵件中的鏈接。不隨意使用陌生U盤、移動(dòng)硬盤等外設(shè)，使用時(shí)切勿關(guān)閉防護(hù)軟件比如WindowsWindowsdefender，避免拷入惡意文件。bat、vbs、vbe、js、jse、wsh、wsfexe可執(zhí)行程序，不輕易解壓不明壓縮文件。陌生文件下載運(yùn)行前可使用文件威脅分析平臺(tái)進(jìn)行檢測(cè)（:8080/），避免感染病毒。定期查殺病毒，清理可疑文件，備份數(shù)據(jù)。增加口令強(qiáng)度遠(yuǎn)程桌面協(xié)議服務(wù)弱口令，為應(yīng)對(duì)后者應(yīng)立即修改系統(tǒng)和各應(yīng)用（MySQL、SQLServer）8以下四類字符中的三類：大小寫字母、數(shù)字、特殊符號(hào)，不能是人名、計(jì)算機(jī)名、用戶名、郵箱名等。系統(tǒng)可以通過配置密碼策略來實(shí)現(xiàn)。勒索病毒應(yīng)急與響應(yīng)手冊(cè)勒索病毒應(yīng)急與響應(yīng)手冊(cè)第PAGE10第10頁共17頁修復(fù)系統(tǒng)漏洞修復(fù)應(yīng)用漏洞攜帶許多WebJBoss(CVE-2013-4810)任意文件上傳漏洞（CVE-2017-12615）、TomcatwebApacheStruts2S2-045時(shí)更新版本。端口管理1351394453389開放，也應(yīng)做出配置僅限部分機(jī)器可訪問。通過防火墻配置、安全軟件隔離或準(zhǔn)入管理。二邊界網(wǎng)絡(luò)檢測(cè)建議傳統(tǒng)安全設(shè)備邊界防護(hù)弱點(diǎn)（web0day（零日漏洞Nday（已知漏洞）、社會(huì)工程學(xué)等找到進(jìn)入目標(biāo)網(wǎng)絡(luò)的大門獲取權(quán)限后，進(jìn)行勒索病毒植入。由于傳統(tǒng)防御體系是建立在已知知識(shí)、規(guī)則的基礎(chǔ)上，缺乏對(duì)未知威脅的感知能力，難以有效發(fā)現(xiàn)勒索病毒及其變種。網(wǎng)絡(luò)防火墻web限于特征明顯的攻擊檢測(cè)，對(duì)于隱藏在合法數(shù)據(jù)包內(nèi)的攻擊難以防范。入侵檢測(cè)系統(tǒng)（IDS）IDS0day防病毒網(wǎng)關(guān)HTTPFTPSMTPIMAP出的數(shù)據(jù)，但所有的檢測(cè)基本都基于文件類型，并且只能根據(jù)特征匹配已知的病毒0dayAPT對(duì)邊界流量深度檢測(cè)勒索病毒突破網(wǎng)絡(luò)邊界防御傳播途徑攻擊方式描述水坑攻擊執(zhí)行惡意代碼，一旦中招，將造成嚴(yán)重?fù)p失。郵件惡意附件常的文件，通過郵件附件方式發(fā)送給用戶，誘騙用戶下載執(zhí)行。系統(tǒng)漏洞利用此種方式的傳播通常具有橫向擴(kuò)散的特點(diǎn)，病毒、蠕蟲通過利用0DAY、NDAY漏洞感染無防護(hù)的站點(diǎn)、主機(jī)等。APT軟件下載、文件共享式攻擊產(chǎn)的損失。APT檢測(cè)方法描述惡意文件深度分析種傳播行為。漏洞利用行為檢測(cè)0DAY/NDAY傳播的行為。DNS異常流量檢測(cè)DGA通訊，精確定位被勒索病毒感染主機(jī)。社工攻擊檢測(cè)毒的傳播行為。云端高級(jí)威脅分析通過云端提供的深層次威脅分析服務(wù)、安全預(yù)警服務(wù)和情報(bào)共享服務(wù)，對(duì)勒索病毒行為準(zhǔn)確預(yù)判，防患未然。三終端防護(hù)建議：終端檢測(cè)與響應(yīng)（EDR）傳統(tǒng)殺毒軟件在應(yīng)對(duì)勒索時(shí)的困境單點(diǎn)能力無法應(yīng)對(duì)勒索的分布式擴(kuò)散任務(wù)。殺毒軟件無法處理未知的勒索病毒變種由其完成加密行為EDR的優(yōu)勢(shì)防御已知和未知類型勒索病毒EDR管控全局終端安全態(tài)勢(shì)服務(wù)器、PCPC略配置。全方位的主機(jī)防護(hù)體系EDRWeb流量可視化，安全可見EDR關(guān)系，梳理通信邏輯，上帝視角對(duì)策略進(jìn)行規(guī)劃，便于用戶第一時(shí)間發(fā)現(xiàn)威脅，一鍵清除威脅。簡(jiǎn)單配置，離線升級(jí)，補(bǔ)丁管理EDR可將人類語言轉(zhuǎn)化為具體安全配置，明確、有效的進(jìn)行主機(jī)Web離線導(dǎo)入升級(jí)包、一鍵自動(dòng)升級(jí)，可在專網(wǎng)使用。四技術(shù)支持：安恒信息安全服務(wù)滲透測(cè)試服務(wù)擊者的數(shù)量卻依舊逐年增加并且攻擊事件頻發(fā)，我司總結(jié)多年的安全服務(wù)經(jīng)驗(yàn)并結(jié)合海內(nèi)外成熟的滲透測(cè)試攻防理念引導(dǎo)客戶從攻擊者的角度出發(fā)來認(rèn)識(shí)自己的信息系統(tǒng)安全防護(hù)能力，使用攻擊者的攻擊思路與工具來驗(yàn)證自身的防護(hù)機(jī)制有效性、完整性和保密性從而真實(shí)的判斷當(dāng)前所處的網(wǎng)絡(luò)安全形勢(shì)。安全加固建議EDR。增強(qiáng)服務(wù)器補(bǔ)丁安裝意識(shí)；APT對(duì)各類業(yè)務(wù)系統(tǒng)涉及到的服務(wù)器采用堡壘機(jī)進(jìn)行安全管控。對(duì)重要業(yè)務(wù)系統(tǒng)開展等級(jí)保護(hù)測(cè)評(píng)工作。弱項(xiàng)，例如弱口令問題，主機(jī)基線配置問題；有效的面對(duì)各類安全事件并能快速處置。確有效快速的處置。試已經(jīng)備份的數(shù)據(jù)，從而保證備份數(shù)據(jù)有效性。WEB定時(shí)備份數(shù)據(jù)；WEBSELECTDROPTABLEDB_OWERDBA(sa)帳號(hào)；加密，而不是將明文字符串存放在數(shù)據(jù)庫中；刪除多余的危險(xiǎn)數(shù)據(jù)庫存儲(chǔ)過程；需要設(shè)置僅允許它訪問極少數(shù)主機(jī)，雙向都要控制。安全培訓(xùn)通過不同內(nèi)容的安全培訓(xùn)加強(qiáng)企事業(yè)單位人員的安全技能和安全意識(shí)，從而做好安全建設(shè)和運(yùn)營(yíng)工作。培訓(xùn)的形式較為豐富，可以是常見的安全意識(shí)宣講活動(dòng)、內(nèi)部圓桌討論形式、安全試驗(yàn)參與形式、應(yīng)急演練模擬攻擊試驗(yàn)，再到后期的安全認(rèn)證體系培養(yǎng)。CISP“注冊(cè)信息安全專業(yè)人員”（CertifiedInformationSecurityProfessionalCISP）全專業(yè)人員，具備保障信息系統(tǒng)安全的專業(yè)資質(zhì)。工業(yè)控制系統(tǒng)安全工程師（CISP-ICSSE）認(rèn)證培訓(xùn)簡(jiǎn)介（可編程邏輯控制器（PLC）等）廣泛用于能源、交通、水利、冶金、石油化云安全工程師（CISP-CSE）認(rèn)證培訓(xùn)簡(jiǎn)介對(duì)云計(jì)算技術(shù)的充分理解以及云計(jì)算安全問題的深入分析成為各行業(yè)展有著重要意義。大數(shù)據(jù)安全分析師（CISP-BDSA）認(rèn)證培訓(xùn)簡(jiǎn)介CISP-BDSA作內(nèi)容，只有人員的素質(zhì)真正提升，才能讓安全事件、勒索病毒遠(yuǎn)離我們的各類信息資產(chǎn)。五工控環(huán)境的適用性勒索病毒對(duì)工業(yè)生產(chǎn)的危害生產(chǎn)中斷生產(chǎn)的不可視。尤其流程行業(yè)的生產(chǎn)是連續(xù)的、相互關(guān)聯(lián)的，某個(gè)安全域的停車將導(dǎo)致整個(gè)企業(yè)的生產(chǎn)中斷。竊取機(jī)密生產(chǎn)工藝是生產(chǎn)企業(yè)的核心競(jìng)爭(zhēng)力，如果勒索病毒回傳工業(yè)主機(jī)上的生產(chǎn)數(shù)據(jù)，企業(yè)將面臨生產(chǎn)工藝的泄漏以及生產(chǎn)數(shù)據(jù)的泄漏。這足可以導(dǎo)致一個(gè)企業(yè)的覆滅。惡意操作HMI軟件的操作權(quán)限，對(duì)現(xiàn)場(chǎng)工業(yè)設(shè)備進(jìn)行惡意操作，直接破環(huán)設(shè)備安全或制造人員傷害。如果操作者了解流程行業(yè)知識(shí)，可直接操縱安全事故的發(fā)生。劫持設(shè)備PLC、DCS載更新。但是工業(yè)企業(yè)追求生產(chǎn)的穩(wěn)定性，一般不會(huì)對(duì)其進(jìn)行更新。勒索病毒可以利用這些公布的漏洞，實(shí)現(xiàn)對(duì)工控系統(tǒng)的底層控制，獲取設(shè)備的控制權(quán)而不被操作人員發(fā)現(xiàn)。工控系統(tǒng)的勒索病毒防護(hù)標(biāo)，盯上了工業(yè)領(lǐng)域。國(guó)內(nèi)多個(gè)工業(yè)企業(yè)遭受了勒索病毒的攻擊，工業(yè)主機(jī)被鎖、藍(lán)屏，不斷重啟，嚴(yán)重影響正常生產(chǎn)或?qū)е轮苯油．a(chǎn)。我們建議從以下幾點(diǎn)做好工控系統(tǒng)的勒索病毒事前防護(hù)工作。安全培訓(xùn)IT系統(tǒng)設(shè)備在勒索病毒攻擊下出現(xiàn)異?；蛲＼嚂r(shí)，會(huì)影響上下游生產(chǎn)，這需要運(yùn)營(yíng)管IT營(yíng)人員進(jìn)行必要的工控知識(shí)培訓(xùn)。另外，工控系統(tǒng)操作人員的安全意識(shí)非常重要，應(yīng)加強(qiáng)安全技術(shù)和意識(shí)的培訓(xùn)，讓相關(guān)操作人員從思想意識(shí)形態(tài)上認(rèn)識(shí)到工業(yè)信息安全的重要性，杜絕一切人為失誤。完全依賴安全設(shè)備或管理制度均不