避免成為下一個受害者：勒索病毒急救響應篇

判斷是否感染勒索病毒

由于勒索病毒主要目的是勒索，攻擊者在目標主機完成數據加密后，一般會提示受害者支付贖金。因此，勒索病毒有明顯區別于一般病毒的典型特征，可以通過以下特征來判斷是否感染勒索病毒。

1.電腦桌面出現勒索信息文件

主機被感染勒索病毒后，最明顯的特征是電腦桌面或者文件目錄下通常會出現新的文本文件或網頁文件，這些文件用來說明如何解密的信息，同時顯示勒索提示信息及解密聯系方式。為了更加明顯的提示受害者勒索信息，部分家族甚至直接修改電腦桌面背景。

以下是部分流行勒索病毒的勒索信息：

<< 滑動查看下一張圖片 >>

2. 文件被篡改

主機被感染勒索病毒后，另一個明顯的特征是主機上很多文件后綴名被篡改，導致文檔、照片、視頻等文件變成不可打開的形式。一般情況下， 文件后綴名會被修改成勒索病毒家族的名稱或者勒索病毒家族的代表標志，比如Phobos常用的加密后綴有：.dewar、.devil、.Devos、.eight、.eking等；Hospit在針對醫療行業進行攻擊時，使用的加密后綴為.guanhospit，針對制造業發動攻擊，使用的加密后綴為.builder；GlobeImposter的相關后綴就超過兩百五十種，“十二生肖”系列、“十二主神”系列、“C*H”系列變種都曾在國內引起軒然大波。

3.業務訪問異常

主機被感染病毒后，由于業務系統文件被篡改，或者病毒在主機上調用系統程序異常，都可能導致主機業務系統訪問異常，甚至業務癱瘓的現象。比如早期部分Wannacry變種永恒漏洞利用失敗導致srv.sys 驅動異常出現主機藍屏現象。

勒索病毒急救響應措施

基礎急救措施

針對小型單位或者沒有能力進行病毒溯源的組織，在勒索病毒響應方面，最先考慮的考慮是盡快切斷病毒在內網的傳播感染。

1. 斷網隔離

第一時間將所有感染主機進行網絡隔離，可采用深信服的一鍵全局隔離方案，或采取拔網線的物理方式，這樣是防止勒索病毒在內網進一步傳播感染，避免組織造成二次損失最直接的方式。至于其它未中招的主機，建議根據災情實際情況，選擇是否隔離網絡。理論上來講，如果災情嚴重，建議所有主機都隔離網絡，待應急結束，加固完成后，再放通網絡。

2.端口隔離

進一步關閉135、139、443、445、3389等TCP端口，以及137、138等UDP端口，避免病毒利用端口進行傳播。尤其RDP 端口，如無業務需要，建議直接關閉，如有業務需要，也建議通過微隔離等手段進行策略訪問控制及封堵。

3.病毒查殺

確保病毒不會在內網橫向擴散后，借用病毒查殺工具進行病毒全盤掃描，找到病毒文件進行隔離查殺處置。如主機核心系統文件被加密，則進行系統重裝。

4.加固防范

為避免下一次感染，對網絡進行加固升級防護措施。包括：

• 及時對操作系統、設備、以及軟件進行打補丁和更新；
• 確保安全設備及安全軟件等升級到最新版本，包括網絡上的反病毒、入侵防護系統、以及反惡意軟件工具等；
• 做好網絡安全隔離，將網絡隔離到安全區，確保某個區域的感染不會輕易擴散到其他區域；
• 建立并實施自帶設備安全策略，檢查并隔離不符合安全標準（沒有安裝反惡意軟件、反病毒文件過期、操作系統需要關鍵性補丁等）的設備；
• 建立并實施權限與特權制度，使無權限用戶無法訪問到關鍵應用程序、數據、或服務；
• 制定備份與恢復計劃，最好能將備份文件離線存儲到獨立設備。

完善急救措施

針對大型單位或者有溯源需求的組織，在急救過程需要注意保留現場，避免給后續做防御加固、解密恢復帶來困難。

1. 梳理資產，確認災情

盡快判斷影響面，有利于后續工作開展及資源投入，確認感染數量、感染終端業務歸屬、感染家族等詳情。梳理的表格可參考如下：

2、保留現場，斷開網絡

盡快斷網，降低影響面，保留現場，不要輕易重啟或破壞（若發現主機還沒完成加密的情況，可以即刻斷電，交給專業安全人員處理），避免給后續溯源分析、解密恢復帶來困難。

3、確認訴求，聚焦重點

確認訴求，是勒索病毒應急響應的核心。

受害組織必須明確核心訴求，比如數據解密、加固防御、入侵分析（溯源取證）、樣本分析、企業內網安全狀況評估等，應急響應人員則根據核心訴求，按照緊急程度依次開展工作。

4、樣本提取，數據收集

提取系統日志：將C:\Windows\System32\winevt\Logs目錄拷貝一份到桌面，然后在桌面上將其壓縮為以感染主機命名的壓縮包，例如：192.168.1.1-windows-log.zip

提取加密文件：選取若干文件較小的被加密文件，留作后面解密嘗試，以及用于判斷勒索病毒家族。

• 判斷病毒文件是否還在加密

使用everything文件檢索工具，搜索被加密文件，比如文件加密后綴為“Ares666”，那么就搜索“*.Ares666”，按修改時間排序，觀察是否有新的被加密文件，如果正在產生新加密文件，立刻關機，關機后可將磁盤進行刻錄用來分析；如果已經停止加密，則繼續進行后續步驟。

• 收集系統日志文件

Windows系統日志目錄為“C:\Windows\System32\winevt\Logs”，可以整個打包下來。（整體文件比較大，可進行壓縮，直接壓縮可能會失敗，原因是文件被占用，將Logs目錄拷貝到桌面再壓縮即可。）

• 采集家族信息

被加密的文件不是病毒樣本，因此可把完整的加密后綴、勒索文本/彈窗一起保存或截圖保存，如果截圖則截圖要完整和清晰。

• 查找病毒文件

勒索病毒文件通常都比較新，可以使用everything搜索“*.exe”，按修改時間（或創建時間）排序，通過目錄和文件名猜測可能的病毒文件，一般可能性比較大的目錄包括：

“C:\Windows\Temp”

“C:\Users\[user]\AppData\Local\Temp”

“C:\Users\[user]\Desktop”

“C:\Users\[user]\Downloads”

“C:\Users\[user]\Pictures”等等。

5、判斷家族，嘗試解密

通過深信服EDR官網根據勒索信息文件和加密后綴進行家族搜索，從而確認病毒家族，EDR官網網址如下：

https://edr.sangfor.com.cn/#/information/ransom_search

如果該病毒家族有解密工具，可直接進行下載，注意需要將原加密數據備份后再進行解密，謹防損壞后永久性丟失數據。

6、溯源取證，封堵源頭

通過對主機日志、安全產品日志的詳細排查，定位入侵來源，還原攻擊過程，盡快對攻擊入口進行封堵。一般來說通過文件修改時間，確定各個主機之間的先后感染順序，一般情況下，最開始被感染的主機，即內網入侵點之所在。

7、加固防御，以絕后患

加固防御，也是勒索病毒應急響應的重要組成部分，是防止二次傷害，二次中招的關鍵步驟，主要的加固和防御方向如：避免弱口令，避免多個系統使用同一口令；漏洞管理，定期漏掃，及時打補丁，修復漏洞；安裝殺毒軟件，定期殺毒；數據備份，對重要的數據文件定期進行非本地備份；安全意識宣傳，包括不使用不明來歷的U盤、移動硬盤等存儲設備、不要點擊來源不明的郵件以及附件、不接入公共網絡也不允許內部網絡接入來歷不明外網PC等等。