國內某單位勒索病毒攻擊事件處置實例

01 事件概述

7月2日，國內某醫療單位HIS系統內多臺關鍵服務器和操作終端業務數據被加密，疑似遭受勒索病毒攻擊。HIS系統是為醫院整體運行提供全面的自動化管理及各種服務的重要信息系統，一旦癱瘓將對醫院造成較大的經濟損失和負面社會影響。

圖1 HIS系統服務器文件被加密

威努特得知客戶情況后，立即成立應急專家小組，第一時間到達客戶現場開展該病毒事件的應急處置工作。

02 現場事件處置

現場與客戶做深入的溝通之后，應急專家小組梳理出應急處置方案，總體處置流程及結果如下：

1、現場情況梳理：快速梳理現場的網絡結構，客戶網絡內部署有防火墻、IPS和終端殺毒等防護措施，但是未能防御住勒索病毒的攻擊！通過插入U盤測試，發現中毒的服務器依然在做持續加密動作。得出結論：病毒程序沒有自我刪除，很有可能會在內網中繼續擴散。

2、病毒樣本分析：通過人工識別和判斷在中毒服務器中提取出病毒樣本，經過研究分析該病毒為Eking，屬于 Phobos 勒索軟件家族的變種病毒。Phobos 是一個攻擊性極強的勒索軟件，在 HTA 勒索信息打開后（標志著 Phobos 加密結束），它會繼續在后臺運行，并繼續對目標范圍內的新文件進行加密。具體病毒行為分析如下：

1）釋放文件

病毒執行后會在系統臨時目錄下創建 3582-490 目錄及 Fast.exe 文件：

圖2 Eking 釋放臨時文件示意圖

2）文件遍歷

遍歷磁盤（遍歷系統所有磁盤、網絡共享盤等）：

圖3 Eking 遍歷磁盤示意圖

遍歷目錄（遍歷除系統重要目錄外的其它目錄，優先遍歷Users目錄）：

圖4 Eking 遍歷目錄示意圖

3）文件加密

圖5 Eking 加密文件示意圖

4）病毒駐留

釋放病毒母體文件 svchost.com 文件：

圖6 Eking釋放病毒母體文件示意圖

注冊表修改exe關聯路徑（打開exe程序時會再次執行病毒文件）：

圖7 Eking注冊表修改exe關聯路徑示意圖

3、攻防對抗測試：將勒索病毒樣本與威努特防勒索系統進行真實攻防對抗，勒索病毒樣本運行后，防勒索系統的行為監測模塊監測到有惡意程序在調用高危指令，同時病毒誘捕模塊誘捕到該勒索病毒遍歷行為，主機防勒索系統立即發出告警，對勒索病毒進行阻攔和隔離，有效的阻止了勒索病毒的運行。

4、防止擴散動作：為避免病毒在內網中繼續橫向擴散，感染其它服務器和操作工作站，應急專家小組協助客戶對重要服務器和工作站部署威努特主機防勒索系統，并開啟相關防護措施。

最終，僅用時4個小時，就完成了從采樣、分析、防護等一系列應急處置工作，保障現場業務正常運行，不再繼續遭受該勒索病毒的攻擊威脅，威努特技術專家的專業技能能力得到了用戶的一致好評。

03 為什么防火墻、IPS和終端殺毒等防護措施

無法有效防御？

目前活躍在市面上的勒索攻擊病毒種類繁多，而且每個家族的勒索病毒也處于不斷地更新變異之中，極高頻率的變種使得基于病毒特征庫的傳統殺毒軟件在應對海量新型勒索病毒時，毫無用武之地。

并且勒索攻擊形式多樣，主要有文件加密、數據竊取、系統加密和屏幕鎖定等四種主要的形式，造成的后果嚴重，EDR產品響應阻斷機制生效的前提是勒索病毒已經產生了異常行為，響應阻斷的動作一旦滯后，將造成為時已晚、不可挽回的嚴重損失。

此外，勒索攻擊已顯著具備APT攻擊的特點，勒索攻擊普遍采用漏洞利用、釣魚郵件、移動介質、供應鏈、遠程桌面等方式進行傳播，防火墻、IDS等傳統安全解決方案，已無法有效應對勒索病毒的傳播泛濫。

綜上所述，傳統產品和方案應對勒索攻擊時收效甚微。

04 威努特防勒索系統的防御思路與效果展示

威努特防勒索系統基于勒索病毒誘捕發現+關鍵業務保護和核心數據保護+數據備份兜底技術來實現對勒索病毒的防范，此次現場具體防范效果如下：

1、事前防御-行為監測模塊與病毒誘捕模塊的雙模塊聯動

圖8 行為監測與病毒誘捕模塊防護效果

防勒索病毒防范的關鍵在于前期勒索病毒的發現和阻攔。防勒索系統不再依靠傳統特征庫的方式發現病毒，而是通過病毒的行為特征做出有效判斷。可監控操作系統底層的函數調用，系統內置了勒索軟件的行為特征規則，基于勒索軟件磁盤遍歷和惡意加密等高危指令調用動作，觸發行為監測機制，以及創新性的動態生成誘餌文件病毒捕獲技術，勒索軟件對誘餌文件的加密行為將被防勒索系統識別，進而精準判斷出惡意程序為勒索病毒，及時終止勒索進程對其進行阻斷與隔離。

2、事中檢測/阻斷-病毒查殺模塊與關鍵業務和核心數據保護同步運行

本次應急處理中，對關鍵業務和核心數據的刪除和加密行為進行有效阻攔，是保障終端的關鍵業務和核心數據不被勒索病毒終止和加密的關鍵。

圖9 關鍵業務和核心數據防護

圖10 核心數據加密阻攔告警

關鍵業務和核心數據保護原理：威努特防勒索系統可通過建立系統中應用與數據間的訪問關系模型，阻斷勒索軟件對應用程序非法終止，以及數據非法的讀寫、刪改、加密。

本次應急處置過程中，對客戶重要醫療業務系統做專門的安全防護，避免由此導致的業務中斷或系統崩潰，同時對醫療資產數據庫、醫療影像文件、電子病歷等核心數據做安全防護，避免被加密、竊取、公開等。

3、事后恢復-文件保險箱技術兜底，快速完成對加密文件的恢復

極端情況下病毒成功加密終端文件，威努特防勒索系統基于按需觸發的文件備份機制，快速完成對加密文件的恢復。基于應用數據動態備份策略，任何可疑操作前完成數據自動備份，并對備份數據嚴密保護，勒索攻擊發生后，可基于備份數據快速恢復系統業務。

圖11 文件保險箱保障業務數據快速恢復

05 結束語

通過本次事件，再一次證明被動防御技術，無法有效防范勒索病毒的攻擊，只有基于主動防御理念打造的專門防范勒索病毒的終端安全產品才能更好的解決勒索病毒攻擊的難題。