您当前的位置:首页 > 电脑百科 > 安全防护 > 病毒

勒索病毒处置经验分享

时间:2020-12-18 10:57:31  来源:  作者:

勒索病毒事件愈来愈多

 

近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重安全问题。

 

这种情况一方面说明勒索病毒攻击已经开始组织化和行业化,另一方面也说明传统行业在信息安全方面防护能力脆弱,相比于互联网、金融等行业,在信息安全管理和安全技术方面存在更多漏洞,更容易成为勒索病毒攻击的对象。

 

 勒索病毒危害分析

 

机器感染勒索病毒后,使用人员会很快发现许多常见的文件如wordExcel,pdf等不能正常打开,异常现象明显,因此很容易发现并上报到IT或安全部门,如果处置及时,一般不会造成企业内大量机器感染。

 

但是另一方面,由于勒索病毒使用了非对称加密方式对机器上的所有数据文件进行加密,如果没有对应的解密密钥,被加密后的文件基本不可能再被解密和还原。因此对已经感染勒索病毒的个人电脑和服务器,如果之前没有及时进行数据备份,可能会因为关键数据丢失而造成无法挽回的损失。

 

如何正确处置勒索病毒感染事件

 

根据我们之前处理勒索病毒事件总结的经验,企业在发现一台或多台机器感染勒索病毒后,IT人员和安全人员可按照如下流程进行正确处置(如果企业没有设置信息安全岗位,建议立即联系第三方专业安全服务公司协助处置)。

勒索病毒处置经验分享

 

3.1 确认勒索病毒感染迹象

 

l 勒索病毒感染后,桌面或文件夹通常会出现类似how_to_decrypt.hta网页文件,可通过浏览器打开,主要是英文信息,显示勒索提示信息及解密联系方式等;

l 同时很多文件被加上乱七八糟的带有勒索病毒攻击者邮箱地址信息的后缀名,文件不能被正常打开;(类似如下截图)

勒索病毒处置经验分享

 

3.2 隔离已感染机器,避免勒索病毒进一步扩散

 

对存在上述勒索病毒感染迹象的机器,应立即实施网络或物理隔离,避免勒索病毒通过公司有线和无线网络继续传播。隔离方法包括:

  • 已感染的无线上网机器,禁用无线网卡;
  • 已感染的有线上网用户,禁用有线网卡,同时拔掉机器的物理网线;
  • 如果同一网段有多台机器感染,可通过交换机进行断网,或修改无线网络密码;
  • 已感染关键岗位电脑和重要服务器,立即关机,避免勒索病毒进一步加密所有文件;
  • 专人整理感染机器列表,供后续处置;

 

3.3 对暂未感染勒索病毒的机器进行加固,防止可能的感染途径

 

勒索病毒感染一台机器后,会通过文件共享、操作系统远程利用漏洞、账号弱密码等方式,进一步获取其它机器或AD服务器的账号,从而进行全网络感染。

 

对暂未明确发现感染勒索病毒迹象的机器,基于勒索病毒的传播方法和传播途径,可采取一些基本的安全措施快速进行防护,避免感染。这些安全措施包括:

  • 修改个人电脑、应用服务器、域控服务器登录密码,修改为强密码;
  • 禁用guest账号;
  • 统一关闭139、445端口,关闭RDP服务;
  • 安装360、火绒等防病毒软件进行防护和查杀;
  • 更新操作系统安全补丁;

 

3.4 分析已感染机器,提取病毒特征

 

如果能够快速定位出勒索病毒文件特征(如进程名称,执行路径,文件大小,md5值,自启动位置,进程保护文件等),可立即开始全网排查,找出网络内其它已感染的机器并进行隔离,从而减少整个勒索病毒事件的处置时间,降低勒索病毒给企业带来的危害和损失。

 

  • 根据我们处置勒索病毒的经验,可优先从以下几方面进行,包括:
  • 和感染机器人员进行深入沟通,如什么时间发现异常,之前执行过哪些操作等,可帮助快速定位可能的病毒感染源;
  • 通过任务管理器,查看CPU、内存、IO使用率高的可疑进程(特别是文件很多的机器,勒索病毒加密需要占用大量机器资源);
  • 安装病毒查杀工具,快速查找病毒文件,如火绒、360、clamav、BitDefender等;
  • 安装其它系统安全工具,包括微软提供的SysinternalsSuite安全工具(autoruns64.exe,procexp64.exe,procmon.exe,tcpview.exe等),PCHunter,火绒剑等进行分析;

 

通过以上操作,安全人员应该可以查找出勒索病毒文件和执行进程,可进一步通过在线病毒查杀引擎快速对病毒文件进行确认,如:www.virustotal.com, www.virscan.org等网站

 

对确认为勒索病毒的可执行文件,可进一步通过在线沙盘快速进行行为分析,如s.threatbook.cn,App.any.run等,确认病毒行为特征。如通过微步云沙箱对某个伪装成svchost.com文件的勒索病毒分析结果:

勒索病毒处置经验分享

 

确认勒索病毒行为特征后,可通过停止勒索病毒进程,新建文件并观察,启动勒索病毒进程,查看文件是否被加密,进一步确认勒索病毒。

 

3.5 根据病毒特征,全网筛查感染机器

 

通过提取的勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征,可通过域控、单机或专业桌面管理工具等进行操作,迅速进行全网排查。对存在感染勒索病毒特征的机器,进行断网隔离,并删除勒索病毒文件和进程,同时持续监控是否继续感染。

 

另外基于勒索病毒的网络行为特征,可进一步通过交换机镜像流量分析,查找网络内是否存在已感染机器。

 

3.6 已感染机器处置

 

已感染勒索病毒的机器,可通过停止勒索病毒进程,删除保护进程或文件的方法,禁止勒索病毒运行。同时通过U盘备份未加密文件。

 

文件备份后,统一重新安装操作系统,并按照安全基线进行加固和检测后,部署应用和恢复数据。

 

3.7 勒索病毒感染溯源

 

勒索病毒感染途径一般包括:外网服务器存在漏洞(如应用层漏洞,RCE高危补丁未更新,账号弱密码等),钓鱼邮件附件,长期隐藏存在的APT攻击等。

 

勒索病毒溯源可通过对最初感染机器的人员操作行为和操作系统日志分析,企业内网络设备和安全设备日志分析等,进一步追溯原始漏洞和入侵方式。

 

3.8 修复感染源漏洞

 

如果能够追溯到最初的感染源,可有针对性地进行安全加固。如果不能追溯到原始安全漏洞,也应根据勒索病毒传播方式进行安全加固,包括安全意识宣讲,外网安全漏洞扫描和渗透,防病毒软件安装、安全补丁更新等。

 

3.9 安全事件总结

 

根据勒索病毒溯源结果,IT或安全负责人应对勒索病毒感染源情况进行说明,对感染机器、数据损失、恢复情况、恢复时间和费用等进行说明。

 

3.10 制定后续安全加固方案

 

企业感染勒索病毒的根本原因必然是在安全技术或安全管理方面存在某些漏洞,如没有安装防病毒软件对勒索病毒文件进行查杀,非IT部门员工缺乏基础的信息安全意识,随意保存和打开勒索病毒可执行文件等。这些当前存在的和潜在的各种安全漏洞和安全风险需要及时处置,并最终在多层次、多阶段建立一个统一的纵深安全防御体系。

 

新钛云服可以基于安全最佳实践并结合企业安全现状,从远程办公、网络安全边界、终端准入、桌面管理、防病毒、数据防泄密、日常安全服务等多方面为企业提供合适的安全防护解决方案,同时也可以在安全规范、安全意识培训等方面提供帮助。

 

后记

 

勒索病毒越演越烈的背后原因主要还是利益驱动,针对的是企业最具价值的数据,危害的是数据的可用性。后续攻击者更有可能利用APT攻击,在秘密窃取企业敏感数据后,进一步加密数据进行勒索,从而最大化攻击者价值。

 

对传统企业领导者和IT管理者而言,应能够认识到企业信息化转型后的IT威胁和风险影响,从而在企业信息安全建设和数据安全方面,可以给予IT部门和安全部门需要的各类安全资源,包括选择专业的第三方安全服务厂商,进而可以从安全管理和安全技术多方面进行防范,减少和避免各类信息安全事件的发生。

 

作者:新钛云服 王爱华



Tags:勒索病毒   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、背景介绍永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获...【详细内容】
2021-12-27  Tags: 勒索病毒  点击:(3)  评论:(0)  加入收藏
勒索病毒是一种计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播。一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业和个人用户大量重要文...【详细内容】
2021-07-27  Tags: 勒索病毒  点击:(220)  评论:(0)  加入收藏
勒索病毒事件愈来愈多 近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重...【详细内容】
2020-12-18  Tags: 勒索病毒  点击:(186)  评论:(0)  加入收藏
一、故障状况北亚数据恢复中心接到某公司一台被加密的SqlServer数据库,客户要求对数据库进行解密,数据库基本情况如下:数据库: SQL server版本: 2008R2故障状况: 数据库被加密,无法...【详细内容】
2020-09-30  Tags: 勒索病毒  点击:(308)  评论:(0)  加入收藏
根据“火绒威胁情报系统”监测,近期出现多起勒索病毒加密文件后缀名为“shanghai3”和“beijing”事件,极具地域性和本土特色,请广大用户小心。 需要注意的是,此前同一个勒索病...【详细内容】
2020-08-18  Tags: 勒索病毒  点击:(139)  评论:(0)  加入收藏
勒索病毒发展至今,360互联网安全中心已累计接收到数万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与...【详细内容】
2020-08-11  Tags: 勒索病毒  点击:(316)  评论:(0)  加入收藏
这几年电脑病毒木马似乎少了,但有一类除外,那就是勒索病毒。和传统的病毒相比,勒索病毒并不会对系统文件造成破坏,只会对用户数据进行加密,因此很多杀软都会眼睁睁地放过它。然而...【详细内容】
2020-07-24  Tags: 勒索病毒  点击:(100)  评论:(0)  加入收藏
一、背景自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对企事业单位等各类组织直接威胁最大的一类木马病毒。勒索病毒通常以垃圾邮件、服务器入侵、网...【详细内容】
2019-10-16  Tags: 勒索病毒  点击:(170)  评论:(0)  加入收藏
日前,优炫软件安全研究院监测到多个活跃计算机病毒,其中LooCipher属于新型勒索病毒,主要通过垃圾邮件进行传播,广大客户一定要做好防范活跃病毒的安全部署。 LooCipher勒索病毒L...【详细内容】
2019-08-22  Tags: 勒索病毒  点击:(1777)  评论:(0)  加入收藏
上周是困苦、难熬、头疼的一周,阿里云服务器被勒索病毒攻击了,很多内部资料被加密,导致业务瘫痪,举步维艰。 勒索病毒,是一种新型病毒,黑客主要以邮件、程序木马、网页挂马的形式...【详细内容】
2019-08-01  Tags: 勒索病毒  点击:(302)  评论:(0)  加入收藏
▌简易百科推荐
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  walkingcloud    Tags:挖矿病毒   点击:(384)  评论:(0)  加入收藏
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将...【详细内容】
2021-08-30  Linf    Tags:计算机病毒   点击:(97)  评论:(0)  加入收藏
勒索病毒是一种计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播。一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业和个人用户大量重要文...【详细内容】
2021-07-27    河南网警  Tags:勒索病毒   点击:(220)  评论:(0)  加入收藏
如果你是一名很早就开始上网冲浪的高手,那么对于2006年风靡一时的熊猫烧香一定不会陌生,与更早开始流行的灰鸽子不同,熊猫烧香是一款拥有自动传播、自动感染硬盘能力和强大的破...【详细内容】
2021-07-23    中关村在线  Tags:杀毒软件   点击:(170)  评论:(0)  加入收藏
大家好,不知道你们有没有意识到一个问题:现如今,计算机病毒似乎不像多年前那样令人头疼了。在十几年前,清理病毒简直就是计算机用户的家常便饭,尤其如打印店、网吧这种密集场所,你...【详细内容】
2021-06-01    中关村在线  Tags:中毒   点击:(143)  评论:(0)  加入收藏
最近在网上看到好多的用户被这个名叫Incaseformat的病毒侵袭电脑,导致电脑除了C盘以外的所有的磁盘都被格式化了。这让很多小伙伴遇到这个病毒的时候不知所措,不知道该如何去...【详细内容】
2021-01-22      Tags:Incaseformat   点击:(239)  评论:(0)  加入收藏
1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。该蠕虫病毒主要通过 U 盘传播,感染用户机...【详细内容】
2021-01-15      Tags:蠕虫病毒   点击:(194)  评论:(0)  加入收藏
12月初,我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。...【详细内容】
2021-01-05      Tags:蠕虫   点击:(174)  评论:(0)  加入收藏
勒索病毒事件愈来愈多 近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重...【详细内容】
2020-12-18      Tags:勒索病毒   点击:(186)  评论:(0)  加入收藏
随着信息化的发展,数据安全的重要性愈加突出。据最新的 Hiscox 全球网络安全统计,在勒索软件攻击事件当中,64%以上的用户是中小企业。因此,制定完善的灾备策略,是抵御网络威胁的...【详细内容】
2020-12-15      Tags:勒索者病毒   点击:(145)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条