一、背景
自2017年5月WannaCry(永恒之藍勒索蠕蟲)大規模爆發以來,勒索病毒已成為對企事業單位等各類組織直接威脅最大的一類木馬病毒。勒索病毒通常以垃圾郵件、服務器入侵、網頁掛馬、捆綁軟件等多種形式進行傳播。機器一旦遭受勒索病毒攻擊,將會使絕大多數文件被加密算法修改,并添加一個特殊的后綴,且用戶無法讀取原本正常的文件,對用戶造成無法估量的損失。
二、勒索病毒中毒特征
勒索病毒的主要目的既然是為了勒索,那么黑客在植入病毒完成加密后,必然會提示受害者您的文件已經被加密了無法再打開,需要支付贖金才能恢復文件。所以,勒索病毒有明顯區別于一般病毒的典型特征。如果服務器出現了以下特征,即表明已經中了勒索病毒。
1. 業務系統無法訪問
勒索病毒的攻擊不再局限于加密核心業務文件;轉而對企業的服務器和業務系統進行攻擊,感染企業的關鍵系統,破壞企業的日常運營。
2. 電腦桌面被篡改
服務器被感染勒索病毒后,最明顯的特征是電腦桌面發生明顯變化,即:桌面通常會出現新的文本文件或網頁文件,這些文件用來說明如何解密的信息,同時桌面上顯示勒索提示信息及解密聯系方式,如下圖:
服務器感染勒索病毒后,另外一個典型特征是:辦公文檔、照片、視頻等文件的圖標變為不可打開形式,或者文件后綴名被篡改,并且使得文件無法正常打開。
三、自救措施
? 正確處置方法
(一)隔離中招主機
當確認服務器已經被感染勒索病毒后,應立即隔離被感染主機,隔離主要包括物理隔離和訪問控制兩種手段。
①物理隔離
物理隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括:拔掉網線、禁用網卡,如果是筆記本電腦還需關閉無線網絡。
②訪問控制
a.避免將遠程桌面服務(RDP,默認端口為3389)暴露在公網上,并關閉445、139、135等不必要的端口。
b.將服務器密碼修改為高強度的復雜密碼。
隔離的目的,一方面是為了防止感染主機自動通過連接的網絡繼續感染其他服務器;另一方面是為了防止黑客通過感染主機繼續操控其他服務器。
有一類勒索病毒會通過系統漏洞或弱密碼向其他主機進行傳播,如WannaCry勒索病毒,一旦有一臺主機感染,會迅速感染與其在同一網絡的其他電腦,且每臺電腦的感染時間約為1-2分鐘左右。所以,如果不及時進行隔離,可能會導致整個局域網主機的癱瘓,造成無法估量的損失。
(二)排查業務系統
在已經隔離被感染主機后,應對局域網內的其他機器進行排查,檢查核心業務系統是否受到影響,生產線是否受到影響,并檢查備份系統是否被加密等,以確定感染的范圍。
另外,備份系統如果是安全的,就可以避免支付贖金,順利的恢復文件。
所以,當確認服務器已經被感染勒索病毒后,并確認已經隔離被感染主機的情況下,應立即對核心業務系統和備份系統進行排查。
? 錯誤的處置方法
(一)使用移動存儲設備
當確認服務器已經被感染勒索病毒后,在中毒電腦上使用U盤、移動硬盤等移動存儲設備。當電腦感染病毒時,病毒也可能通過U盤等移動存儲介質進行傳播。所以,當確認服務器已經被感染勒索病毒后,切勿在中毒電腦上使用U盤、移動硬盤等設備。
(二)讀寫中毒主機上的磁盤文件
當確認服務器已經被感染勒索病毒后,反復讀取磁盤上的文件可能會而降低數據正確恢復的概率。
四、勒索病毒排查
1. 文件排查
(1)開機啟動有無異常文件
【開始】?【運行】?【msconfig】
(2)各個盤下的 temp(tmp)相關目錄下查看有無異常文件
(3)Recent 是系統文件夾,里面存放著最近使用的文檔的快捷方式,查看用戶 recent 相關文件,通過分析最近打開分析可疑文件:
【開始】?【運行】?【%UserProfile%Recent】
(4)查看文件時間,創建時間、修改時間、訪問時間,黑客通過菜刀類工具改變的是修改時間。所以如果修改時間在創建時間之前明顯是可疑文件。
2. 進程排查
(1)netstat -ano 查看目前的網絡連接,定位可疑的 ESTABLISHED,例如
(2)根據 netstat 定位出的 pid,再通過 tasklist 命令進行進程定位,例如
(3)根據 wmic process 獲取進程的全路徑 [任務管理器也可以定位到進程路徑]
3. 系統信息排查
(1)查看環境變量的設置
排查內容:temp 變量的所在位置的內容;后綴映射 PATHEXT 是否包含有非windows 的后綴;有沒有增加其他的路徑到 PATH 變量中(對用戶變量和系統變量都要進行排查)。
(2)Windows 計劃任務
排查可疑的windows計劃任務。
(3)Windows 帳號信息,如隱藏帳號等
【開始】?【運行】?【compmgmt.msc】?【本地用戶和組】?【用戶】排查可疑的用戶信息 (用戶名以$結尾的為隱藏用戶,如:admin$)
(4)查看當前系統用戶的會話
使用? query user 查看當前系統的會話,比如查看到有人使用遠程終端登錄服務器,可使用logoff 踢出該用戶;
(5)查看 systeminfo 信息,系統版本以及補丁信息,及時打補丁
五、勒索病毒預防措施
勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施,以盡可能避免損失:
(1)安裝殺毒和安全防護軟件,不隨意退出安全軟件或關閉防護功能,對安全軟件提示的各類風險行為不要輕易放行;定期進行全盤殺毒。
(2)開啟系統自動更新功能或使用安全軟件的第三方打補丁功能對系統進行漏洞管理,第一時間給操作系統和常用軟件打好補丁,定期更新病毒庫,以免病毒利用漏洞自動入侵電腦。
(3)密碼一定要使用強口令,并且不同賬號使用不同密碼。
(4)重要文檔數據應經常做備份。
(5)若長時間離開電腦隨手關機。
(6)盡量不要啟用文件共享功能和遠程桌面功能。
(7)不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。
