勒索病毒事件愈來愈多

近期針對傳統行業的勒索病毒攻擊事件愈來愈多，甚至一天內會有多家同一行業的企業同時受到攻擊，造成企業業務運營中斷，個人和公司重要數據遭受破壞等嚴重安全問題。

這種情況一方面說明勒索病毒攻擊已經開始組織化和行業化，另一方面也說明傳統行業在信息安全方面防護能力脆弱，相比于互聯網、金融等行業，在信息安全管理和安全技術方面存在更多漏洞，更容易成為勒索病毒攻擊的對象。

 勒索病毒危害分析

機器感染勒索病毒后，使用人員會很快發現許多常見的文件如word，Excel，pdf等不能正常打開，異常現象明顯，因此很容易發現并上報到IT或安全部門，如果處置及時，一般不會造成企業內大量機器感染。

但是另一方面，由于勒索病毒使用了非對稱加密方式對機器上的所有數據文件進行加密，如果沒有對應的解密密鑰，被加密后的文件基本不可能再被解密和還原。因此對已經感染勒索病毒的個人電腦和服務器，如果之前沒有及時進行數據備份，可能會因為關鍵數據丟失而造成無法挽回的損失。

如何正確處置勒索病毒感染事件

根據我們之前處理勒索病毒事件總結的經驗，企業在發現一臺或多臺機器感染勒索病毒后，IT人員和安全人員可按照如下流程進行正確處置（如果企業沒有設置信息安全崗位，建議立即聯系第三方專業安全服務公司協助處置）。

3.1 確認勒索病毒感染跡象

l 勒索病毒感染后，桌面或文件夾通常會出現類似how_to_decrypt.hta網頁文件，可通過瀏覽器打開，主要是英文信息，顯示勒索提示信息及解密聯系方式等；

l 同時很多文件被加上亂七八糟的帶有勒索病毒攻擊者郵箱地址信息的后綴名，文件不能被正常打開；（類似如下截圖）

3.2 隔離已感染機器，避免勒索病毒進一步擴散

對存在上述勒索病毒感染跡象的機器，應立即實施網絡或物理隔離，避免勒索病毒通過公司有線和無線網絡繼續傳播。隔離方法包括：

• 已感染的無線上網機器，禁用無線網卡；
• 已感染的有線上網用戶，禁用有線網卡，同時拔掉機器的物理網線；
• 如果同一網段有多臺機器感染，可通過交換機進行斷網，或修改無線網絡密碼；
• 已感染關鍵崗位電腦和重要服務器，立即關機，避免勒索病毒進一步加密所有文件；
• 專人整理感染機器列表，供后續處置；

3.3 對暫未感染勒索病毒的機器進行加固，防止可能的感染途徑

勒索病毒感染一臺機器后，會通過文件共享、操作系統遠程利用漏洞、賬號弱密碼等方式，進一步獲取其它機器或AD服務器的賬號，從而進行全網絡感染。

對暫未明確發現感染勒索病毒跡象的機器，基于勒索病毒的傳播方法和傳播途徑，可采取一些基本的安全措施快速進行防護，避免感染。這些安全措施包括：

• 修改個人電腦、應用服務器、域控服務器登錄密碼，修改為強密碼；
• 禁用guest賬號；
• 統一關閉139、445端口，關閉RDP服務；
• 安裝360、火絨等防病毒軟件進行防護和查殺；
• 更新操作系統安全補丁；

3.4 分析已感染機器，提取病毒特征

如果能夠快速定位出勒索病毒文件特征（如進程名稱，執行路徑，文件大小，md5值，自啟動位置，進程保護文件等），可立即開始全網排查，找出網絡內其它已感染的機器并進行隔離，從而減少整個勒索病毒事件的處置時間，降低勒索病毒給企業帶來的危害和損失。

• 根據我們處置勒索病毒的經驗，可優先從以下幾方面進行，包括：
• 和感染機器人員進行深入溝通，如什么時間發現異常，之前執行過哪些操作等，可幫助快速定位可能的病毒感染源；
• 通過任務管理器，查看CPU、內存、IO使用率高的可疑進程（特別是文件很多的機器，勒索病毒加密需要占用大量機器資源）；
• 安裝病毒查殺工具，快速查找病毒文件，如火絨、360、clamav、BitDefender等；
• 安裝其它系統安全工具，包括微軟提供的SysinternalsSuite安全工具（autoruns64.exe，procexp64.exe，procmon.exe，tcpview.exe等），PCHunter，火絨劍等進行分析；

通過以上操作，安全人員應該可以查找出勒索病毒文件和執行進程，可進一步通過在線病毒查殺引擎快速對病毒文件進行確認，如：www.virustotal.com， www.virscan.org等網站。

對確認為勒索病毒的可執行文件，可進一步通過在線沙盤快速進行行為分析，如s.threatbook.cn，App.any.run等，確認病毒行為特征。如通過微步云沙箱對某個偽裝成svchost.com文件的勒索病毒分析結果：

確認勒索病毒行為特征后，可通過停止勒索病毒進程，新建文件并觀察，啟動勒索病毒進程，查看文件是否被加密，進一步確認勒索病毒。

3.5 根據病毒特征，全網篩查感染機器

通過提取的勒索病毒文件名、文件路徑、文件大小、文件簽名、md5值、進程路徑和名稱等特征，可通過域控、單機或專業桌面管理工具等進行操作，迅速進行全網排查。對存在感染勒索病毒特征的機器，進行斷網隔離，并刪除勒索病毒文件和進程，同時持續監控是否繼續感染。

另外基于勒索病毒的網絡行為特征，可進一步通過交換機鏡像流量分析，查找網絡內是否存在已感染機器。

3.6 已感染機器處置

已感染勒索病毒的機器，可通過停止勒索病毒進程，刪除保護進程或文件的方法，禁止勒索病毒運行。同時通過U盤備份未加密文件。

文件備份后，統一重新安裝操作系統，并按照安全基線進行加固和檢測后，部署應用和恢復數據。

3.7 勒索病毒感染溯源

勒索病毒感染途徑一般包括：外網服務器存在漏洞(如應用層漏洞，RCE高危補丁未更新，賬號弱密碼等)，釣魚郵件附件，長期隱藏存在的APT攻擊等。

勒索病毒溯源可通過對最初感染機器的人員操作行為和操作系統日志分析，企業內網絡設備和安全設備日志分析等，進一步追溯原始漏洞和入侵方式。

3.8 修復感染源漏洞

如果能夠追溯到最初的感染源，可有針對性地進行安全加固。如果不能追溯到原始安全漏洞，也應根據勒索病毒傳播方式進行安全加固，包括安全意識宣講，外網安全漏洞掃描和滲透，防病毒軟件安裝、安全補丁更新等。

3.9 安全事件總結

根據勒索病毒溯源結果，IT或安全負責人應對勒索病毒感染源情況進行說明，對感染機器、數據損失、恢復情況、恢復時間和費用等進行說明。

3.10 制定后續安全加固方案

企業感染勒索病毒的根本原因必然是在安全技術或安全管理方面存在某些漏洞，如沒有安裝防病毒軟件對勒索病毒文件進行查殺，非IT部門員工缺乏基礎的信息安全意識，隨意保存和打開勒索病毒可執行文件等。這些當前存在的和潛在的各種安全漏洞和安全風險需要及時處置，并最終在多層次、多階段建立一個統一的縱深安全防御體系。

新鈦云服可以基于安全最佳實踐并結合企業安全現狀，從遠程辦公、網絡安全邊界、終端準入、桌面管理、防病毒、數據防泄密、日常安全服務等多方面為企業提供合適的安全防護解決方案，同時也可以在安全規范、安全意識培訓等方面提供幫助。

后記

勒索病毒越演越烈的背后原因主要還是利益驅動，針對的是企業最具價值的數據，危害的是數據的可用性。后續攻擊者更有可能利用APT攻擊，在秘密竊取企業敏感數據后，進一步加密數據進行勒索，從而最大化攻擊者價值。

對傳統企業領導者和IT管理者而言，應能夠認識到企業信息化轉型后的IT威脅和風險影響，從而在企業信息安全建設和數據安全方面，可以給予IT部門和安全部門需要的各類安全資源，包括選擇專業的第三方安全服務廠商，進而可以從安全管理和安全技術多方面進行防范，減少和避免各類信息安全事件的發生。

作者：新鈦云服 王愛華