勒索軟件防范應(yīng)對指南

1勒索軟件防范應(yīng)對指南二、感染勒索軟件應(yīng)急響應(yīng)操作流程（2）要做好網(wǎng)絡(luò)隔離，阻止勒索軟件橫移帶來的進(jìn)一步危（8）要全面加固系統(tǒng)，及時修改密碼，修復(fù)漏洞，防止被234服務(wù)器或主機(jī)感染勒索軟件后，辦公文檔、照片、視頻等下面為感染勒索軟件后，幾種典型的文件后綴名被篡改或56備的WiFi、藍(lán)牙，斷開設(shè)備連接的無線網(wǎng)絡(luò)，禁用網(wǎng)卡（包括響應(yīng)結(jié)束，加固完成后，再接入網(wǎng)絡(luò)。如果確實(shí)因業(yè)務(wù)制策略，對于大量設(shè)備，可修改網(wǎng)絡(luò)設(shè)備ACL配置達(dá)到網(wǎng)絡(luò)層隔離的目的。附錄E提供了常見網(wǎng)絡(luò)設(shè)備配置ACL訪問控制策7（1）若發(fā)現(xiàn)設(shè)備中主要的工作或個人文檔還未被加密，則（2）若發(fā)現(xiàn)數(shù)據(jù)文件均已被加密，則建議保留現(xiàn)場，不要（三）勒索軟件攻擊事件分析感染勒索軟件最明顯的癥狀是主機(jī)桌面被篡改，大量文件8需要注意的是，應(yīng)急排查時勒索軟件可能仍在運(yùn)行，因此步驟1：截圖取證。發(fā)現(xiàn)設(shè)備感染勒索軟件后，第一時間9步驟2：判斷勒索軟件家族類型。利用空移動存儲設(shè)備從可上傳的信息包括：勒索信、加密文件、勒索軟件留下的郵箱、來源國內(nèi)https://stopransomwa/國外https://id-ransomware.malwa/rahttps://www.nomoreransom.or件后綴，并按照修改時間（ModifiedTime）排可以通過查看勒索加密前新增的可疑文件和查看進(jìn)程兩種如果勒索軟件還在運(yùn)行中，則可以在進(jìn)程列表中找到它。使用文件搜索工具Everything搜索被加密文件，比如文原始文件可能會比較大，壓縮后會通過前面查找勒索樣本步驟，如果發(fā)現(xiàn)了勒索樣本或其它可以利用計(jì)算機(jī)管理功能檢查是否存在異常用戶、陌生用在命令提示符中使用netuserUserName來查看用戶b）使用PChunter等工具查看進(jìn)程信息，檢查是否存在聯(lián)系專業(yè)的安全企業(yè)或惡意代碼逆向分析人員對前面收集查看感染設(shè)備所在網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)邏輯架構(gòu)、對潛在影響區(qū)域內(nèi)的信息系統(tǒng)進(jìn)行排查，重點(diǎn)排查信息系制關(guān)鍵生產(chǎn)設(shè)施（例如域控主機(jī)然后通過特定方式（例如域策略、PsExec遠(yuǎn)程連接執(zhí)行等）在內(nèi)網(wǎng)中傳播勒索軟件。在入侵過程中，攻擊者會使用很多類似APT組織的滲透攻擊手段，a）在域控主機(jī)C:\Windows\SYSVOL\domain\scripts目錄被攻擊單位可聯(lián)系專業(yè)應(yīng)急響應(yīng)團(tuán)隊(duì)或者專業(yè)安全機(jī)構(gòu)團(tuán)nn份有限公司公司64n（四）風(fēng)險(xiǎn)處置與安全加固可以通過手動或殺毒工具清除病毒，但由于很多勒索軟件對于一些不具備自動傳播功能的勒索軟件，可以手動清除很多安全廠商提供了殺毒軟件，有的還提供了勒索軟件專?徹底刪除發(fā)現(xiàn)的可疑程序、病毒文件。如果發(fā)現(xiàn)可疑文對于Web系統(tǒng)，可利用安全設(shè)備的弱口令發(fā)現(xiàn)功能檢測弱典，對操作系統(tǒng)的SSH、RDP、SMB、MySQL、Oracle、Redis等12個字符，采用大小寫字母、數(shù)字、特殊符號至少兩種以上的獲取系統(tǒng)的漏洞情況；二是手動滲透測試，使用cmd輸入命令WindowsSMBv1遠(yuǎn)程代碼執(zhí)行Windows遠(yuǎn)程桌面服務(wù)（RDP）遠(yuǎn)程代碼執(zhí)洞WindowsSMBv3遠(yuǎn)程代碼執(zhí)行權(quán)用戶訪問關(guān)鍵信息系統(tǒng)，降低關(guān)鍵信息系統(tǒng)的暴露面；部署網(wǎng)絡(luò)側(cè)企業(yè)內(nèi)部可以加強(qiáng)網(wǎng)絡(luò)安全域的隔離以及同網(wǎng)段內(nèi)令具體可以參考Windows:https://lolbas-project.github.io（五）數(shù)據(jù)恢復(fù)加密數(shù)據(jù)恢復(fù)方式主要有兩種：一是利用備份數(shù)據(jù)恢復(fù)；信息系統(tǒng)和數(shù)據(jù)。若備份數(shù)據(jù)也被勒索軟件加密，可利用數(shù)據(jù)來源國內(nèi)https://stopransomwa/國外https://id-ransomware.malwa/rahttps://www.nomoreransom.or解密前可先將勒索信息文件和待解密文件拷貝到虛擬機(jī)環(huán)來源國內(nèi)https://stopransomwa/fangl國外具/ransomware-de/en-us/ransomware-de/en/decrypt/blog/labs/thttps://id-ransomware.malwarehunterteam具/enterprise/en-ustools/ransomware-decryp/portal_k/ransomware-dec不建議向攻擊者支付贖金，一則間接助長了攻擊者氣焰，（六）上報(bào)主管部門發(fā)生重要勒索攻擊事件后，事發(fā)單位應(yīng)按照國家相關(guān)規(guī)定勒索軟件(Ransomware)，又稱勒索病毒，是指以加密數(shù)據(jù)、鎖定設(shè)備、損壞文件為主要攻擊方式,使計(jì)算機(jī)無法正常使用或（1）加密本地文件：遍歷本地磁盤文件，加密系統(tǒng)文件以外的大部分后綴文件，例如數(shù)據(jù)庫文件、Office文檔、圖片、（2）加密局域網(wǎng)共享設(shè)備：掃描感染設(shè)備相同網(wǎng)段中的網(wǎng)（3）加密磁盤：直接對磁盤進(jìn)行整體加密或加密分區(qū)表數(shù)（4）竊取數(shù)據(jù)：在部署勒索軟件之前，竊取內(nèi)網(wǎng)中重要數(shù)（5）內(nèi)網(wǎng)滲透：勒索軟件攻擊者常常在攻陷一臺設(shè)備后，（6）上傳隱私信息：上傳用戶國家/地區(qū)、IP地址、安裝（7）刪除備份數(shù)據(jù)：勒索軟件常常通過刪除備份數(shù)據(jù)、禁Defender實(shí)時保護(hù)功能，或通過Powershell腳本命令關(guān)（三）釣魚郵件、垃圾郵件惡意代碼偽裝在郵件附件中，格式多為Word文檔、Excel（四）利用系統(tǒng)與軟件漏洞攻擊（五）網(wǎng)站掛馬（六）僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)犯罪分子將僵尸網(wǎng)絡(luò)的訪問權(quán)限以出租或直接出售的形式絡(luò)來發(fā)起一個大規(guī)模的垃圾郵件活動。2019年起僵尸網(wǎng)絡(luò)開始（七）軟件供應(yīng)鏈攻擊軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商與最終用戶之間的信（八）移動介質(zhì)勒索軟件存在于移動介質(zhì)中，如U盤和移動硬盤等載體，間無無高無無高M(jìn)S17-010高WindowsXP、Windows高Win2003、WinXP、Win7、WWindowsALPC無高高高安全的第三方庫。WeblogicWLS高安全的第三方庫。Apache高Apache高無高證無高高高高Nexus無高NexusRepositoryMa態(tài)的功能，用戶需要在72小時之內(nèi)通過比特幣、MoneyPak或GameoverZeuS僵尸網(wǎng)絡(luò)遭到執(zhí)法機(jī)關(guān)關(guān)閉后被分離出來。司法Phobos勒索軟件家族是近期活躍度非常高的勒索軟件，該勒索軟件家族于2019年初被發(fā)現(xiàn)，早期由于該家族的代碼與2021年2月，該勒索軟件攻擊了立訊精密工業(yè)股份有限公下次引導(dǎo)時加密NTFS文件系統(tǒng)文件表，完全阻止系統(tǒng)引導(dǎo)進(jìn)GlobeImposter勒索軟件出現(xiàn)于2017年，國要求院方必須在六小時內(nèi)為每臺感染機(jī)器支付1比特幣贖金才GandCrab勒索軟件在2018-2019年時非?；钴S，執(zhí)行過程流，索要400-1200美元不等的贖金運(yùn)行過程中使用反射式DLL注入技術(shù)將勒索程序注入到內(nèi)存中加密除.exe、.dll、.sys、.lnk等擴(kuò)展名外的所有文件。值得（ScottishEnvironmentProtectionAgency，簡稱SEPA并在十、REvil/SodinokibiREvil（又稱Sodinokibi）組織善于使用Web組件Nday漏洞和PulseSecureVPN漏洞對相關(guān)企業(yè)進(jìn)行攻擊，該團(tuán)伙是勒索產(chǎn)組織。該組織和GandCrab組織有著千絲萬縷的關(guān)系，分析人2020年5月，服務(wù)于全球影視娛樂巨星的一家紐約律師事務(wù)所成為REvil病毒攻擊的受害者，包括LadyGaga、麥當(dāng)娜等鎖超市之一的Coop受此供應(yīng)鏈勒索攻擊事件影響被迫關(guān)閉全國組織在黑客論壇上非?；钴S，擁有RaaS（勒索軟件即服務(wù)）模算法加密文件；可以感染W(wǎng)indows和Linux系統(tǒng)。DarkSide采不支付贖金就將其數(shù)據(jù)公開。DarkSid通過收集有關(guān)受害者的信息，據(jù)對DarkSide勒索軟平均業(yè)務(wù)停機(jī)時間為5天。DarkSide勒索軟件的攻擊者已經(jīng)建Pipeline遭到網(wǎng)絡(luò)攻擊，該起攻擊導(dǎo)致美國東部沿海主要頭東芝的一家子公司承認(rèn)遭受網(wǎng)絡(luò)安全攻擊，據(jù)報(bào)道是由成為首家同時使用加密文件和竊取用戶數(shù)據(jù)兩種手段進(jìn)行勒索數(shù)據(jù)，這其中包括：中國搜狗、佳能、DailyThermetrics、Cognizant、STEngineering等知名公司。該組織由于不守信導(dǎo)致其名聲受損而宣布停止運(yùn)營Maze勒索軟件家族。但經(jīng)過跟蹤發(fā)現(xiàn)該組織并非真正關(guān)閉Maze而是改名換姓轉(zhuǎn)為投遞egregor圾郵件活動和僵尸網(wǎng)絡(luò)以及漏洞利用工具包進(jìn)行分發(fā)，通過CobaltStrike和PowerShellEmpireGRIMSPIDER幕后操作運(yùn)營，GRIMSPIDER是一個網(wǎng)絡(luò)犯罪集團(tuán)，至今一直活躍。2020年數(shù)個大型工控企業(yè)包括鋼鐵、采礦、工業(yè)建筑等行業(yè)受到Ryuk勒索軟件攻擊，導(dǎo)致企業(yè)部分服務(wù)器癱悉，Ryuk黑客組織的大多數(shù)收入，是通過Binance和Huobi的Ryuk組織以攻擊美國醫(yī)療保健行業(yè)的傾向而出名，該團(tuán)伙主要針對美國和加拿大的組織。它最出名的攻擊行動是在2020謀求外部合作以獲取更大的利益。在安全研究人員于2021年22021年，據(jù)外媒報(bào)道，保險(xiǎn)巨頭安盛集團(tuán)在泰國、馬來西亞、中國香港和菲律賓的分公司遭到了勒索軟件網(wǎng)絡(luò)攻擊，壓文件，運(yùn)行后釋放勒索軟件程序并執(zhí)行。DoppelPaymer勒索勒索信內(nèi)容和支付贖金網(wǎng)頁較為相似，故懷疑DoppelPaymer勒CTBGMX工廠遭受了該組織的攻擊，該組織聲稱加密了大約序號間密1“永恒之藍(lán)”漏是2無否3無是4釣魚郵件、捆綁軟件、僵尸播可解密5永恒之藍(lán)漏洞、種暫時無法解密，6Necurs僵尸無否7無否8無否9無RDP爆破、釣無否RDP爆破、釣無否是釣魚郵件、惡意軟件、RDP用是否垃圾郵件、僵尸網(wǎng)絡(luò)、漏洞利用工具包、解無RDP爆破、垃無否CVE-2021-40444ntNightmare漏洞里提供常見的網(wǎng)絡(luò)設(shè)備建議的配置方法，僅供網(wǎng)絡(luò)管理人員參Juniper設(shè)備配置示例：setfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-WannaCrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-WannaCrytermdefaultthenaccept#在全局應(yīng)用規(guī)則setforwarding-optionsfamilyinetfilter#在三層接口應(yīng)用規(guī)則setinterfaces[需要掛載的三層端口名稱]unit0familyifilteroutputdeny-WannaCrysetinterfaces[需要掛載的三層端口名稱]unit0familyi華三（華三（H3C）設(shè)備配置示例：新版本:aclnumber3050ruledenytcpdestination-port445interface[需要掛載的三層端口名稱]packet-filter3050inboundpacket-filter3050outboundaclnumber3050rulepermittcpdestination-port445trafficclassifierdeny-WannaCryif-matchacl3050trafficbehaviordeny-WannaCryfilterdenyqospolicydeny-WannaCryclassifierdeny-WannaCrybehaviordeny-WannaCry#在全局應(yīng)用qosapplypolicydeny-WannaCryglobalinboundqosapplypolicydeny-WannaCryglobaloutbound#在三層接口應(yīng)用規(guī)則interface[需要掛載的三層端口名稱]qosapplypolicydeny-WannaCryinboundqosapplypolicydeny-WannaCryoutbound華為設(shè)備配置示例：ttsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-WannaCrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-WannaCrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-WannaCrytermdefaultthenaccept#在全局應(yīng)用規(guī)則setforwarding-optionsfamilyinetfilteroutputdeny-WannaCrysetforwarding-optionsfamilyinetfilterinputdeny-WannaCry#在三層接口