為幫助更多的組織單位有效應(yīng)對(duì)勒索病毒威脅，信服君上期分享了《避免成為下一個(gè)受害者：勒索病毒預(yù)防指南篇》，提供勒索病毒加固防護(hù)建議，本期將分享勒索病毒急救措施，幫助組織單位進(jìn)行快速應(yīng)急響應(yīng)。

　　判斷是否感染勒索病毒

　　由于勒索病毒主要目的是勒索，攻擊者在目標(biāo)主機(jī)完成數(shù)據(jù)加密后，一般會(huì)提示受害者支付贖金。因此，勒索病毒有明顯區(qū)別于一般病毒的典型特征，可以通過以下特征來判斷是否感染勒索病毒。

　　1.電腦桌面出現(xiàn)勒索信息文件

　　主機(jī)被感染勒索病毒后，最明顯的特征是電腦桌面或者文件目錄下通常會(huì)出現(xiàn)新的文本文件或網(wǎng)頁文件，這些文件用來說明如何解密的信息，同時(shí)顯示勒索提示信息及解密聯(lián)系方式。為了更加明顯的提示受害者勒索信息，部分家族甚至直接修改電腦桌面背景。

　　2. 文件被篡改

　　主機(jī)被感染勒索病毒后，另一個(gè)明顯的特征是主機(jī)上很多文件后綴名被篡改，導(dǎo)致文檔、照片、視頻等文件變成不可打開的形式。一般情況下， 文件后綴名會(huì)被修改成勒索病毒家族的名稱或者勒索病毒家族的代表標(biāo)志，比如Phobos常用的加密后綴有：。dewar、。devil、。Devos、。eight、。eking等；Hospit在針對(duì)醫(yī)療行業(yè)進(jìn)行攻擊時(shí)，使用的加密后綴為。guanhospit，針對(duì)制造業(yè)發(fā)動(dòng)攻擊，使用的加密后綴為。builder；GlobeImposter的相關(guān)后綴就超過兩百五十種，“十二生肖”系列、“十二主神”系列、“C*H”系列變種都曾在國內(nèi)引起軒然大波。

　　3.業(yè)務(wù)訪問異常

　　主機(jī)被感染病毒后，由于業(yè)務(wù)系統(tǒng)文件被篡改，或者病毒在主機(jī)上調(diào)用系統(tǒng)程序異常，都可能導(dǎo)致主機(jī)業(yè)務(wù)系統(tǒng)訪問異常，甚至業(yè)務(wù)癱瘓的現(xiàn)象。比如早期部分Wannacry變種永恒漏洞利用失敗導(dǎo)致srv.sys 驅(qū)動(dòng)異常出現(xiàn)主機(jī)藍(lán)屏現(xiàn)象。

　　勒索病毒急救響應(yīng)措施

　　基礎(chǔ)急救措施

　　針對(duì)小型單位或者沒有能力進(jìn)行病毒溯源的組織，在勒索病毒響應(yīng)方面，最先考慮的考慮是盡快切斷病毒在內(nèi)網(wǎng)的傳播感染。

　　1. 斷網(wǎng)隔離

　　第一時(shí)間將所有感染主機(jī)進(jìn)行網(wǎng)絡(luò)隔離，可采用深信服的一鍵全局隔離方案，或采取拔網(wǎng)線的物理方式，這樣是防止勒索病毒在內(nèi)網(wǎng)進(jìn)一步傳播感染，避免組織造成二次損失最直接的方式。至于其它未中招的主機(jī)，建議根據(jù)災(zāi)情實(shí)際情況，選擇是否隔離網(wǎng)絡(luò)。理論上來講，如果災(zāi)情嚴(yán)重，建議所有主機(jī)都隔離網(wǎng)絡(luò)，待應(yīng)急結(jié)束，加固完成后，再放通網(wǎng)絡(luò)。

　　2.端口隔離

　　進(jìn)一步關(guān)閉135、139、443、445、3389等TCP端口，以及137、138等UDP端口，避免病毒利用端口進(jìn)行傳播。尤其RDP 端口，如無業(yè)務(wù)需要，建議直接關(guān)閉，如有業(yè)務(wù)需要，也建議通過微隔離等手段進(jìn)行策略訪問控制及封堵。

　　3.病毒查殺

　　確保病毒不會(huì)在內(nèi)網(wǎng)橫向擴(kuò)散后，借用病毒查殺工具進(jìn)行病毒全盤掃描，找到病毒文件進(jìn)行隔離查殺處置。如主機(jī)核心系統(tǒng)文件被加密，則進(jìn)行系統(tǒng)重裝。

　　4.加固防范

　　為避免下一次感染，對(duì)網(wǎng)絡(luò)進(jìn)行加固升級(jí)防護(hù)措施。包括：

　　及時(shí)對(duì)操作系統(tǒng)、設(shè)備、以及軟件進(jìn)行打補(bǔ)丁和更新；

　　確保安全設(shè)備及安全軟件等升級(jí)到最新版本，包括網(wǎng)絡(luò)上的反病毒、入侵防護(hù)系統(tǒng)、以及反惡意軟件工具等；

　　做好網(wǎng)絡(luò)安全隔離，將網(wǎng)絡(luò)隔離到安全區(qū)，確保某個(gè)區(qū)域的感染不會(huì)輕易擴(kuò)散到其他區(qū)域；

　　建立并實(shí)施自帶設(shè)備安全策略，檢查并隔離不符合安全標(biāo)準(zhǔn)（沒有安裝反惡意軟件、反病毒文件過期、操作系統(tǒng)需要關(guān)鍵性補(bǔ)丁等）的設(shè)備；

　　建立并實(shí)施權(quán)限與特權(quán)制度，使無權(quán)限用戶無法訪問到關(guān)鍵應(yīng)用程序、數(shù)據(jù)、或服務(wù)；

　　制定備份與恢復(fù)計(jì)劃，最好能將備份文件離線存儲(chǔ)到獨(dú)立設(shè)備。

　　完善急救措施

　　針對(duì)大型單位或者有溯源需求的組織，在急救過程需要注意保留現(xiàn)場(chǎng)，避免給后續(xù)做防御加固、解密恢復(fù)帶來困難。

　　1. 梳理資產(chǎn)，確認(rèn)災(zāi)情

　　盡快判斷影響面，有利于后續(xù)工作開展及資源投入，確認(rèn)感染數(shù)量、感染終端業(yè)務(wù)歸屬、感染家族等詳情。梳理的表格可參考如下：

　　2、保留現(xiàn)場(chǎng)，斷開網(wǎng)絡(luò)

　　盡快斷網(wǎng)，降低影響面，保留現(xiàn)場(chǎng)，不要輕易重啟或破壞（若發(fā)現(xiàn)主機(jī)還沒完成加密的情況，可以即刻斷電，交給專業(yè)安全人員處理），避免給后續(xù)溯源分析、解密恢復(fù)帶來困難。

　　3、確認(rèn)訴求，聚焦重點(diǎn)

　　確認(rèn)訴求，是勒索病毒應(yīng)急響應(yīng)的核心。

　　受害組織必須明確核心訴求，比如數(shù)據(jù)解密、加固防御、入侵分析（溯源取證）、樣本分析、企業(yè)內(nèi)網(wǎng)安全狀況評(píng)估等，應(yīng)急響應(yīng)人員則根據(jù)核心訴求，按照緊急程度依次開展工作。

　　4、樣本提取，數(shù)據(jù)收集

　　提取系統(tǒng)日志：將C:\Windows\System32\winevt\Logs目錄拷貝一份到桌面，然后在桌面上將其壓縮為以感染主機(jī)命名的壓縮包，例如：192.168.1.1-windows-log.zip

　　提取加密文件：選取若干文件較小的被加密文件，留作后面解密嘗試，以及用于判斷勒索病毒家族。

　　判斷病毒文件是否還在加密

　　使用everything文件檢索工具，搜索被加密文件，比如文件加密后綴為“Ares666”，那么就搜索“*.Ares666”，按修改時(shí)間排序，觀察是否有新的被加密文件，如果正在產(chǎn)生新加密文件，立刻關(guān)機(jī)，關(guān)機(jī)后可將磁盤進(jìn)行刻錄用來分析；如果已經(jīng)停止加密，則繼續(xù)進(jìn)行后續(xù)步驟。

　　收集系統(tǒng)日志文件

　　Windows系統(tǒng)日志目錄為“C:\Windows\System32\winevt\Logs”，可以整個(gè)打包下來。（整體文件比較大，可進(jìn)行壓縮，直接壓縮可能會(huì)失敗，原因是文件被占用，將Logs目錄拷貝到桌面再壓縮即可。）

　　采集家族信息

　　被加密的文件不是病毒樣本，因此可把完整的加密后綴、勒索文本/彈窗一起保存或截圖保存，如果截圖則截圖要完整和清晰。

　　查找病毒文件

　　勒索病毒文件通常都比較新，可以使用everything搜索“*.exe”，按修改時(shí)間（或創(chuàng)建時(shí)間）排序，通過目錄和文件名猜測(cè)可能的病毒文件，一般可能性比較大的目錄包括：

　　“C:\Windows\Temp”

　　“C:\Users\[user]\AppData\Local\Temp”

　　“C:\Users\[user]\Desktop”

　　“C:\Users\[user]\Downloads”

　　“C:\Users\[user]\Pictures”等等。

　　5、判斷家族，嘗試解密

　　通過深信服EDR官網(wǎng)根據(jù)勒索信息文件和加密后綴進(jìn)行家族搜索，從而確認(rèn)病毒家族，EDR官網(wǎng)網(wǎng)址如下：

　　https://edr.sangfor.com.cn/#/information/ransom_search

　　如果該病毒家族有解密工具，可直接進(jìn)行下載，注意需要將原加密數(shù)據(jù)備份后再進(jìn)行解密，謹(jǐn)防損壞后永久性丟失數(shù)據(jù)。

　　6、溯源取證，封堵源頭

　　通過對(duì)主機(jī)日志、安全產(chǎn)品日志的詳細(xì)排查，定位入侵來源，還原攻擊過程，盡快對(duì)攻擊入口進(jìn)行封堵。一般來說通過文件修改時(shí)間，確定各個(gè)主機(jī)之間的先后感染順序，一般情況下，最開始被感染的主機(jī)，即內(nèi)網(wǎng)入侵點(diǎn)之所在。

　　7、加固防御，以絕后患

　　加固防御，也是勒索病毒應(yīng)急響應(yīng)的重要組成部分，是防止二次傷害，二次中招的關(guān)鍵步驟，主要的加固和防御方向如：避免弱口令，避免多個(gè)系統(tǒng)使用同一口令；漏洞管理，定期漏掃，及時(shí)打補(bǔ)丁，修復(fù)漏洞；安裝殺毒軟件，定期殺毒；數(shù)據(jù)備份，對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；安全意識(shí)宣傳，包括不使用不明來歷的U盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備、不要點(diǎn)擊來源不明的郵件以及附件、不接入公共網(wǎng)絡(luò)也不允許內(nèi)部網(wǎng)絡(luò)接入來歷不明外網(wǎng)PC等等。

　　以人機(jī)共智構(gòu)建勒索病毒免疫力，深信服勒索病毒防護(hù)解決方案全新升級(jí)，在圍繞勒索病毒攻擊鏈提供完整防護(hù)技術(shù)的基礎(chǔ)上，疊加勒索預(yù)防與響應(yīng)專項(xiàng)服務(wù)，云端安全運(yùn)營專家圍繞用戶的核心資產(chǎn)，基于配套的防勒索安全產(chǎn)品，開展7*24H的勒索預(yù)防與響應(yīng)，幫助用戶補(bǔ)齊勒索預(yù)防、監(jiān)測(cè)、處置能力的缺失。

　　全面排查，有效防御：圍繞邊界防御與主機(jī)查殺兩個(gè)維度，分別進(jìn)行勒索攻擊前期的安全加固，并由安全服務(wù)專家基于大量積累的勒索病毒Checklist進(jìn)行防御有效性驗(yàn)證與調(diào)優(yōu)，協(xié)助用戶全面清除勒索病毒隱患，大幅降低被勒索的概率。

　　持續(xù)監(jiān)測(cè)，全程保護(hù)：在全網(wǎng)流量監(jiān)測(cè)分析的基礎(chǔ)上， 疊加7*24H的安全托管服務(wù)，為用戶構(gòu)建起“人機(jī)共智”的勒索病毒監(jiān)測(cè)預(yù)警體系，圍繞網(wǎng)絡(luò)投毒、感染、加密、擴(kuò)散全流程進(jìn)行識(shí)別與攔截，全程保障業(yè)務(wù)安全。

　　快速響應(yīng)，高效處置：一旦新型變種病毒在內(nèi)網(wǎng)爆發(fā)，安全服務(wù)專家可在5分鐘內(nèi)敏捷響應(yīng)，第一時(shí)間通過設(shè)備協(xié)同聯(lián)動(dòng)隔離病毒源，遏制疫情擴(kuò)散，同時(shí)線上線下協(xié)助用戶進(jìn)一步清除威脅，恢復(fù)業(yè)務(wù)，全面高效降低業(yè)務(wù)損失。