2019-9_勒索病毒应急措施及防护方案

勒索病毒自救措施
https:///
拒绝勒索：这家门户网站可免费解密109种勒 索软件
42 家执法机构、5 家欧盟单位、101 家公营和私营实体……
据称，免费帮勒索软件受害者恢复文件的一项倡议已助超 20 万受害者摆脱文件被锁困扰，挽救了约 1.08 亿美元的 业务。如今，该倡议设立的门户网站已可帮受害者解密 109 种勒索软件。
应急措施及防护方案2019上半年勒索病毒攻击态势勒索病毒产业链病毒勒索五大形式常见的勒索病毒勒索病毒攻击手段勒索病毒中毒特征勒索病毒自救措施加强管理制度建设预防勒索病毒勒索病毒立体防护解决方案勒索病毒立体防护方案用户收益contents2019年gandcrab勒索病毒运营团队宣称自己在一年半的时间里获利20亿美元这一消息震惊全球这个成功案例也将大大刺激更多不法分子继续经营勒索病毒业2019年3月世界最大的铝制品生产商挪威海德鲁公司norskhydro遭遇勒索软件公司随后该公司被迫关闭几条自动化生产线
网站挂马攻击
挂马攻击一直以来是黑客们热衷的一种攻击方式，常 见的有通过攻击正常站点，插入恶意代码实施挂马， 也有自己搭建恶意站点诱骗用户访问的。
通过U盘感染
U盘随意使用U盘拷备文件，内外网混用等，易于传 播病毒
勒索病毒入侵过程
病毒入侵的本质 “网络杀伤链”
侦查跟踪
武器构建
载荷投送
漏洞利用
安装植入
命令与控制
应急措施及防护方案
目 录
CONTENTS
2019上半年勒索病毒攻击态势 勒索病毒产业链 病毒勒索五大形式 常见的勒索病毒 勒索病毒攻击手段 勒索病毒中毒特征 勒索病毒自救措施 加强管理制度建设预防勒索病毒 勒索病毒立体防护解决方案 勒索病毒立体防护方案用户收益
2019上半年勒索病毒攻击态势
勒索病毒已经成为一类最臭名昭著的计算机病毒，近年来对用户造成了不估量的损失。勒索病 毒对用户造成的资金损失甚至远超当年的“熊猫烧香”、”CHI”等病毒
2019 年 6 月 中 旬 ， 世 界 最 大 飞 机 零 件 供 应商之 一 ASCO 遭遇勒索病毒攻击，由于被 病毒攻击导致的生产环境系 统瘫痪，该公司将1400名工 人中大约1000人带薪休假， 同时停止了四个国家的工厂 生产。
2019 年 3 月 ， 世 界 最 大 的 铝 制品生产商挪威海德鲁公司 （Norsk Hydro）遭遇勒索 软件公司，随后该公司被迫 关闭几条自动化生产线。
二、电脑桌面被篡改
•被感染勒索病毒后，最明显的 特征是电脑桌面发生明显变化 ，即：桌面通常会出现新的文 本文件或网页文件，这些文件 用来说明如何解密的信息，同 时桌面上显示勒索提示信息及 解密联系方式。
勒索病毒自救措施
(一) 隔离中毒主机
当确认已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为 断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。 1）物理隔离
物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关 闭无线网络。 2）访问控制 访问控制常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔 离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运 维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。
勒索病毒自救措施
错误处置方法
(一) 使用移动存储设备
当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。勒索病毒通常会对感染电脑 上的所有文件进行加密，所以当插上U 盘或移动硬盘时，也会立即对其存储的内容进行加密，从而造成损失扩大。从一 般性原则来看，当电脑感染病毒时，病毒也可能通过U盘等移动存储介质进行传播。所以，当确认服务器已经被感染勒 索病毒后，切勿在中毒电脑上使用U盘、移动硬盘等设备。
破解软件与激活工具
破解软件与激活工 ，其中鱼龙混杂，也是夹带木马病毒的重灾区。
钓鱼和垃圾邮件
“钓鱼邮件”攻击是最常见的一类攻击手段，在勒索 病毒传播中也被大量采用。通过具有诱惑力的邮件标 题、内容、附件名称等，诱骗用户打开木马站点或者 带毒附件，从而攻击用户计算机。
毒则为Scarab家族在国内活跃 点之一是自称根据染毒机器的
的一个变种。
价值来确认勒索所需的具体金
额。
勒索病毒攻击手段
弱口令攻击
口令爆破攻击依然是当前最为流行的攻击手段，使用 过于简单的口令或者已经泄露的口令是造成设备被攻 陷的最常见原因。
利用系统与软件漏洞攻击
漏洞攻防一直是安全攻防的最前沿阵地，利用漏洞发 起攻击也是最常见的安全问题之一。 “永恒之蓝” 工具就是其中利用漏洞的一个典型代表，其被用来传 播 WannaCry勒索病毒。
Clop
Clop勒索病毒使用RSA+RC4 的方式对文件进行加密，与其 他勒索病毒不同的是，Clop勒 索病毒部分情况下携带了有效 的数字签名，数字签名滥用， 冒用以往情况下多数发生在流 氓软件，窃密类木马程序中。
SCarab
Maze
Scarab索病毒主要利用
Maze（迷宫）勒索病毒也叫
Necurs僵尸网络进行传播，在 ChaCha勒索病毒，擅长使用
2019 年 ， GandCrab 勒 索 病 毒运营团队宣称自己在一年 半的时间里获利20亿美元， 这一消息震惊全球，这个成 功案例也将大大刺激更多不 法分子继续经营勒索病毒业 务。
2019年5月26日，国内某打 车软件平台发布公告称其服 务器遭受连续攻击，服务器 内核心数据被加密，攻击者 索要巨额比特币。该公司严 厉谴责该不法行为，并向公 安机关报警。
(二) 读写中招主机上的磁盘文件
当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低 数据正确恢复的概率。 很多流行勒索病毒的基本加密过程为： 1）首先，将保存在磁盘上的文件读取到内存中；2）其次，在内存中对文件进行加密；3）最后，将修改后的文件重新 写到磁盘中，并将原始文件删除。 也就是说，很多勒索病毒在生成加密文件的同时，会对原始文件采取删除操作。理论上说，使用某些专用的数据恢复软 件，还是有可能部分或全部恢复被加密文件的。而此时，如果用户对电脑磁盘进行反复的读写操作，有可能破坏磁盘空 间上的原始文件，最终导致原本还有希望恢复的文件彻底无法恢复。
国内也有发现通过RDP过口令 Fallout EK漏洞利用工具通过
爆破后投毒。该家族变种较多， 网页挂马等方式传播。被挂马
部分变种感染后外观展现形态 的网页，多见于黄赌毒相关页
差异较大，例如今年3月份我 面，通常会逐步扩大到盗版软
国部分企业感染的
件、游戏外挂（或破解）、盗
ImmortalLock（不死锁）病 版影视作品下载，该病毒的特
4. 诈骗恐吓式勒索
✓此类型勒索与企业 数据泄露造成的勒 索有着相似点，针 对个人用户隐私发 起攻击。不同点为 攻击者手中根本没 有隐私数据，他们 通过伪造、拼接与 隐私有关的图片、 视频、文档等等恐 吓目标实施诈骗勒 索。
5. 掩盖入侵真相
✓在部分涉及各行业 重要数据，各国家 机密数据的染毒场 景中，部分黑客组 织在实施APT攻击之 后，为消除痕迹， 会进一步投递破坏 性的勒索病毒，将 用户资料加密，勒 索病毒的加密机制 ，让这些攻击行动 变得较为常见，从 而有利于黑客组织 掩盖真实攻击意图 。
常见的勒索病毒
GandCrab
GandCrab勒索病毒首次出现 于2018年1月，是国内首个使 用达世币（DASH）作为赎金 的勒索病毒，也是2019上半 年是最为活跃的病毒之一。 该病毒在国内擅长使用弱口 令爆破，挂马，垃圾邮件等 各种方式传播。
GlobeImposter
2017年5月，勒索病毒 Globelmposter首次在国内出 现。Globelmposter攻击手法 都极其丰富,通过垃圾邮件、社 交工程、渗透扫描、RDP爆破、 恶意程序捆绑等方式进行传播, 由于Globelmposter采用 RSA+AES算法加密,目前该勒索 样本加密的文件暂无解密工具。
Paradise
Paradise勒索病毒最早出现于 2018年7月，该病毒勒索弹窗样 式与Crysis极为相似，勒索病毒 加密文件完成后将修改文件名为 以下格式：[原文件名]_[随机字 符串]_{邮箱}.随机后缀，并留下 名为Instructions with your files.txt或 ###_INFO_you_FILE_###.txt 的勒索说明文档。
Crysis
Crysis勒索病毒从2016年开始 具有勒索活动 ，加密文件完成 后通常会添加“ID+邮箱+指 定后缀”格式的扩展后缀，例 ：“id-编号 .[gracey1c6rwhite@ ].bip”，该病毒通常使用弱口 令爆破的方式入侵企业服务器
Sodinokibi
Sodinokibi勒索病毒首次出现 于2019年4月底，由于之后 GandCrab停止运营事件，该 病毒紧跟其后将GandCrab勒 索家族的多个传播渠道纳入自 身手中。该病毒目前在国内主 要通过web相关漏洞和海量的 钓鱼邮件传播
WananCry
WannaCry于2017年5月12日 在全球范围大爆发，引爆了互 联网行业的“生化危机”。借 助“永恒之蓝”高危漏洞传播 的WannaCry在短时间内影响 近150个国家，致使多个国家 政府、教育、医院、能源、通 信、交通、制造等诸多关键信 息基础设施遭受前所未有的破 坏
Stop
Stop勒索病毒家族在国内主 要通过软件捆绑、垃圾邮件 等方式进行传播，加密时通 常需要下载其它病毒辅助工 作模块。Stop勒索病毒会留 下名为_readme.txt的勒索说 明文档，勒索980美元，并声 称72小时内联系病毒作者将 获得50%费用减免
目标达成
勒索病毒中毒特征
一、业务系统无法访问
•勒索病毒的攻击不再局限于加密核 心业务文件；转而对企业的服务器 和业务系统进行攻击，感染企业的 关键系统，破坏企业的日常运营。
三、文件后缀被篡改
•感染勒索病毒后，另外一个典 型特征是：办公文档、照片、 视频等文件的图标变为不可打 开形式，或者文件后缀名被篡 改。
(二) 排查业务系统
• 在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响 ，并检查备份系统是否被加密等，以确定感染的范围。评估风险，及时采取对应的处置措施，避免更大的危害。防止病 毒继续感染其他服务器，造成无法估计的损失。
(三) 联系专业人员
• 在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题 进行排查。
2019年5月29日，美国佛罗 里达州里维埃拉海滩警察局 因员工打开恶意电子邮件， 从而导致该市基础服务设施 遭受勒索软件加密。市政官 员于随后召开会议，批准动 用大约60万美元支付勒索赎 金。
2019上半年勒索病毒攻击态势
2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算机超过250万台，时间分布上以2019年1月份最为活跃，2 月到6月整体较为平稳，近期略有上升趋势。 2019上半年，勒索病毒的主要攻击方式依然以弱口令爆破攻击为主，其次 为通过海量的垃圾邮件传播，而利用高危漏洞、漏洞工具包主动传播的方式紧随其后，整体攻击方式呈现多元化的特征。
2. 系统锁定勒索
✓该形式勒索与数据 加密勒索有着极大 的相似性。这种方 式的攻击重点不是 针对磁盘文件，而 是通过修改系统引 导区，篡改系统开 机密码等手段将用 户系统锁定，导致 用户无法正常登录 到系统。通过该模 式实施的勒索在电 脑和安卓手机系统 也较为常见。
3. 数据泄漏勒索
✓该类型勒索通常情 况针对企业实施， 黑客通过入侵拿到 企业内相关机密数 据，随后敲诈企业 支付一定金额的赎 金，黑客收到赎金 后称会销毁数据， 否则将进入撕票流 程，在指定时间将 企业机密数据公开 发布，以此要挟企 业支付酬金。
勒索病毒产业链
缴纳较高赎金
合作分成
分成
制作 勒索病毒作者
勒索者 传播
传播
勒索病毒 攻击
合作分成 传播渠道商
中毒受害者
缴纳较低赎金
解密代理
病毒勒索五大形式
1. 数据加密勒索
✓这种方式是当前受 害群体最多、社会 影响最广，勒索犯 罪中最为活跃的表 现形式，该方式通 过加密用户系统内 的重要资料文档， 数据，再结合虚拟 货币实施完整的犯 罪流程。以 GandCrab为代表的 勒索集团当属该类 勒索产业中的佼佼 者 ， 非 法 敛 财 20 亿 美元