2021勒索病毒應(yīng)急與響應(yīng)手冊

勒索病毒應(yīng)急與響應(yīng)手冊2021勒索病毒應(yīng)急與響應(yīng)手冊勒索病毒應(yīng)急與響應(yīng)手冊PAGE\*romanPAGE\*romanii前言勒索病毒主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進行傳播，利用各種非對稱加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。勒索病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。勒索病毒文件一旦進入本地，就會自動運行。接下來，勒索病毒利用本地的互C&C殺毒軟件都具有免疫性。exe、js、wsf、vbe1234終端檢測與響應(yīng)（EDR）產(chǎn)品。通過應(yīng)用本手冊，在不同階段及時做出響應(yīng)，盡可能避免或降低損失。目錄第一章判斷當前狀態(tài) 1感染未加密 1二感染已加密 2第二章響應(yīng)當前狀態(tài) 4基礎(chǔ)響應(yīng)措施 4二高級響應(yīng)措施 5第三章已加密系統(tǒng)的處理辦法 7備份還原 7二解密工具 7三數(shù)據(jù)恢復(fù) 7四支付解密 7五重裝系統(tǒng) 8第四章勒索病毒的防治建議 9基礎(chǔ)防護措施及建議 9二邊界網(wǎng)絡(luò)檢測建議 10三終端防護建議：終端檢測與響應(yīng)（EDR） 12四技術(shù)支持：安恒信息安全服務(wù) 13五工控環(huán)境的適用性 15六勒索保險 16勒索病毒應(yīng)急與響應(yīng)手冊勒索病毒應(yīng)急與響應(yīng)手冊第PAGE1第1頁共17頁第一章判斷當前狀態(tài)感染未加密從攻擊者滲透進入內(nèi)部網(wǎng)絡(luò)的某一臺主機到執(zhí)行加密行為往往有一段時間，如果在這段時間能夠做出響應(yīng)，完全可以避免勒索事件的發(fā)生。如果有以下情況，可能是處于感染未加密狀態(tài)：監(jiān)測設(shè)備告警如果使用了監(jiān)測系統(tǒng)進行流量分析、威脅監(jiān)測，系統(tǒng)產(chǎn)生大量告警日志，例如“SMB遠程溢出攻擊”、“弱口令爆破”等，可能是病毒在嘗試擴散。資源占用異常445CPU二感染已加密兩點可以判斷系統(tǒng)是否已經(jīng)被加密。統(tǒng)一的異常后綴幾百種類型的文件，基本都會包括常見的文檔、圖片、數(shù)據(jù)庫文件。當文件夾下文件變成如下統(tǒng)一異常不可用后綴，就是已經(jīng)被加密了。勒索信或桌面被篡改文件提示，或?qū)⒗账鲌D片更改為桌面。勒索信絕大多數(shù)為英文，引導被勒索的用戶交贖金。第二章響應(yīng)當前狀態(tài)基礎(chǔ)響應(yīng)措施機去攻擊同一局域網(wǎng)內(nèi)的其他主機，所以當發(fā)現(xiàn)一臺主機已被感染，應(yīng)盡快采取響應(yīng)措施，以下基礎(chǔ)措施即使不是專業(yè)的人員也可以進行操作，以盡可能減少損失。隔離中毒主機物理隔離斷網(wǎng)，拔掉網(wǎng)線或禁用網(wǎng)卡，筆記本也要禁用無線網(wǎng)絡(luò)。邏輯隔離135、139、445、3389遠程桌面服務(wù)Administrator，Linuxroot）密碼長度不少于8個字符，至少包含以下四類字符特殊符號，不能是人名、計算機名、用戶名等。排查其他主機響范圍，準備事后恢復(fù)。如果存在備份系統(tǒng)且備份系統(tǒng)是安全的，就可以將損失降到最低，也可以最快的恢復(fù)業(yè)務(wù)。主機加固所以在已知局域網(wǎng)內(nèi)已有主機感染并將之隔離后，應(yīng)檢測其他主機是否有上述的問題存在。系統(tǒng)漏洞可以使用免費的安全軟件檢測并打補丁。（AWVSAPPScan其他方式修復(fù)。8字符的三類：大小寫字母、數(shù)字、特殊符號，不能是人名、計算機名、用戶名等。二高級響應(yīng)措施對未知類型勒索變種，基礎(chǔ)措施的效果就十分有限。當有數(shù)百臺甚至更多主機的場景感染勒索病毒，是無法逐一去采取基礎(chǔ)響應(yīng)措施，需要借助專業(yè)的安全產(chǎn)品進行監(jiān)測、防護和專業(yè)的安全團隊的技術(shù)支持。監(jiān)測：APT警平臺APT惡意代碼傳播、回連域名、漏洞利用等行為進行深度解析，準確定位感染源和感染主機。APTAPT查殺與防護：EDR主機安全及管理系統(tǒng)EDR防御已知及未知類型勒索病毒。部署監(jiān)控端后，通過平臺統(tǒng)一下發(fā)安全策略。具備誘餌捕獲引擎、內(nèi)核級流量隔離等行業(yè)領(lǐng)先技術(shù)。對于已知勒索病毒，通過“進程啟動防護引擎”零誤報零漏報查殺；對于未知勒索病毒，采用“專利級誘餌引擎”進行捕獲，阻斷其加密行為；通過內(nèi)核級的流量隔離技術(shù)，自動阻止勒索病毒在內(nèi)網(wǎng)擴散或者接收遠程控制端指令。技術(shù)支持：安恒信息安全服務(wù)勒索病毒應(yīng)急響應(yīng)服務(wù)索病毒的特點進行相對應(yīng)的處理工作。息，例如病毒感染文件的最初時間，結(jié)合操作系統(tǒng)日志、業(yè)務(wù)系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備日志等設(shè)備日志綜合判斷和構(gòu)建這一時段信息系統(tǒng)各組件所執(zhí)行的操作，并通過內(nèi)存取證，硬盤鏡像等電子證物取證技術(shù)手段開展惡意樣本取證分析操作，從以上應(yīng)急響應(yīng)業(yè)務(wù)操作中構(gòu)建事件發(fā)展的時間線、證據(jù)鏈從而推測判斷事件發(fā)生的準確原因以及病毒傳播的源頭，并進一步根據(jù)所發(fā)現(xiàn)的各類電子證物追蹤背后攻擊者，在各項應(yīng)急處置過程進展順利的情況下找出源頭設(shè)備以及對應(yīng)的攻擊者。急響應(yīng)報告不但需要對事件的描述和判斷，也會針對此類勒索病毒事件給出專業(yè)的安全加固建議以及常用的應(yīng)急處置辦法，從而在本次應(yīng)急處置過后不會在完成系統(tǒng)恢復(fù)之后再次被感染，從而造成更嚴重的影響。開展應(yīng)急響應(yīng)的常規(guī)操作過程過程主要內(nèi)容初步信息收集事發(fā)單位的網(wǎng)絡(luò)拓撲情況單位信息系統(tǒng)人員情況針對事發(fā)系統(tǒng)的使用習慣事發(fā)信息系統(tǒng)的運維情況上機操作操作系統(tǒng)日志提取業(yè)務(wù)系統(tǒng)訪問、操作、登錄等日志提取病毒樣本提取操作系統(tǒng)網(wǎng)絡(luò)狀態(tài)獲取文件加密狀態(tài)情況勒索內(nèi)容表現(xiàn)形式溯源操作日志分析結(jié)果病毒分析結(jié)果主機安全漏洞排查情況病毒植入方式分析病毒影響范圍與網(wǎng)絡(luò)拓撲綜合判斷病毒擴散的方向-有外網(wǎng)入侵或內(nèi)網(wǎng)系統(tǒng)相互傳播IP數(shù)據(jù)其他情況的處理情況。日志缺失情況下的分析在未取證完畢的情況下受感染服務(wù)器重裝系統(tǒng)現(xiàn)場要求數(shù)據(jù)恢復(fù)現(xiàn)場要求解密的可能性判斷給出安全加固建議第三章已加密系統(tǒng)的處理辦法備份還原（云端Windows本機備份恢復(fù)的可能性很低。異機備份如果是通過本地磁盤到共享磁盤進行文件或者數(shù)據(jù)拷貝的方式實現(xiàn)，勒索病毒同樣有可能加密了備份文件。與感染病毒的主機不在同一局域網(wǎng)內(nèi)的異地備份系統(tǒng)最能在此時發(fā)揮作用。統(tǒng)。日常進行合理的數(shù)據(jù)備份，是最有效的災(zāi)難恢復(fù)方法。二解密工具128對稱加密算法AES2048RSA（非對稱加密算法）學的，所以通常的解密工具是通過已公開的密鑰來解密。而密鑰來源有三種途徑：一是破解勒索程序得到，前提是勒索程序本身存在漏洞，但此概率極低。二是勒索者對受害人感到愧疚、同情等極端情況而公開密鑰。擇公開。（https:///zh/index.html）提供的解密工具。三數(shù)據(jù)恢復(fù)文件副本再刪除原文件，而原文件有些會用隨機數(shù)覆蓋，有些并沒有。原文件沒有被覆蓋的情況就可以通過數(shù)據(jù)恢復(fù)的方式進行恢復(fù)。DiskGenius復(fù)。四支付解密勒索病毒勒索的內(nèi)容也不單單圍繞比特幣。例如20181Gandcrab家族勒索的就是更能隱藏用戶信息達世幣。注意：由于勒索病毒已呈現(xiàn)產(chǎn)業(yè)化，同時在大量的實例表明，現(xiàn)階段存在大量的變種病毒，支付贖金后，并不提供真實有效的密鑰，實際解密成功率極低。同時，但當數(shù)據(jù)十分重要且上述其他方法都無法恢復(fù)，最終經(jīng)過綜合評判，確定需要支付贖金以嘗試解密時，也建議聽取安全專家或警方人員的建議以及綜合判斷，謹慎處置。五重裝系統(tǒng)軟件應(yīng)確保使用最新版本或打好補丁，避免漏洞被利用?？诹钜矐?yīng)符合上文中提到4勒索病毒應(yīng)急與響應(yīng)手冊勒索病毒應(yīng)急與響應(yīng)手冊第PAGE9第9頁共17頁第四章勒索病毒的防治建議病毒成功運行后，解密較為困難，所以勒索病毒的防治主要預(yù)防為主，加強整體網(wǎng)EDRAPT一基礎(chǔ)防護措施及建議圾郵件，所以一定不能忽略很多基礎(chǔ)措施。增強安全意識圾電子郵件與捆綁惡意程序，所以日常使用網(wǎng)絡(luò)時要有以下安全意識：件或發(fā)動釣魚、掛馬攻擊。不輕易下載陌生人發(fā)來的郵件附件，不點擊陌生郵件中的鏈接。不隨意使用陌生U盤、移動硬盤等外設(shè)，使用時切勿關(guān)閉防護軟件比如WindowsWindowsdefender，避免拷入惡意文件。bat、vbs、vbe、js、jse、wsh、wsfexe可執(zhí)行程序，不輕易解壓不明壓縮文件。陌生文件下載運行前可使用文件威脅分析平臺進行檢測（:8080/），避免感染病毒。定期查殺病毒，清理可疑文件，備份數(shù)據(jù)。增加口令強度遠程桌面協(xié)議服務(wù)弱口令，為應(yīng)對后者應(yīng)立即修改系統(tǒng)和各應(yīng)用（MySQL、SQLServer）8以下四類字符中的三類：大小寫字母、數(shù)字、特殊符號，不能是人名、計算機名、用戶名、郵箱名等。系統(tǒng)可以通過配置密碼策略來實現(xiàn)。勒索病毒應(yīng)急與響應(yīng)手冊勒索病毒應(yīng)急與響應(yīng)手冊第PAGE10第10頁共17頁修復(fù)系統(tǒng)漏洞修復(fù)應(yīng)用漏洞攜帶許多WebJBoss(CVE-2013-4810)任意文件上傳漏洞（CVE-2017-12615）、TomcatwebApacheStruts2S2-045時更新版本。端口管理1351394453389開放，也應(yīng)做出配置僅限部分機器可訪問。通過防火墻配置、安全軟件隔離或準入管理。二邊界網(wǎng)絡(luò)檢測建議傳統(tǒng)安全設(shè)備邊界防護弱點（web0day（零日漏洞Nday（已知漏洞）、社會工程學等找到進入目標網(wǎng)絡(luò)的大門獲取權(quán)限后，進行勒索病毒植入。由于傳統(tǒng)防御體系是建立在已知知識、規(guī)則的基礎(chǔ)上，缺乏對未知威脅的感知能力，難以有效發(fā)現(xiàn)勒索病毒及其變種。網(wǎng)絡(luò)防火墻web限于特征明顯的攻擊檢測，對于隱藏在合法數(shù)據(jù)包內(nèi)的攻擊難以防范。入侵檢測系統(tǒng)（IDS）IDS0day防病毒網(wǎng)關(guān)HTTPFTPSMTPIMAP出的數(shù)據(jù)，但所有的檢測基本都基于文件類型，并且只能根據(jù)特征匹配已知的病毒0dayAPT對邊界流量深度檢測勒索病毒突破網(wǎng)絡(luò)邊界防御傳播途徑攻擊方式描述水坑攻擊執(zhí)行惡意代碼，一旦中招，將造成嚴重損失。郵件惡意附件常的文件，通過郵件附件方式發(fā)送給用戶，誘騙用戶下載執(zhí)行。系統(tǒng)漏洞利用此種方式的傳播通常具有橫向擴散的特點，病毒、蠕蟲通過利用0DAY、NDAY漏洞感染無防護的站點、主機等。APT軟件下載、文件共享式攻擊產(chǎn)的損失。APT檢測方法描述惡意文件深度分析種傳播行為。漏洞利用行為檢測0DAY/NDAY傳播的行為。DNS異常流量檢測DGA通訊，精確定位被勒索病毒感染主機。社工攻擊檢測毒的傳播行為。云端高級威脅分析通過云端提供的深層次威脅分析服務(wù)、安全預(yù)警服務(wù)和情報共享服務(wù)，對勒索病毒行為準確預(yù)判，防患未然。三終端防護建議：終端檢測與響應(yīng)（EDR）傳統(tǒng)殺毒軟件在應(yīng)對勒索時的困境單點能力無法應(yīng)對勒索的分布式擴散任務(wù)。殺毒軟件無法處理未知的勒索病毒變種由其完成加密行為EDR的優(yōu)勢防御已知和未知類型勒索病毒EDR管控全局終端安全態(tài)勢服務(wù)器、PCPC略配置。全方位的主機防護體系EDRWeb流量可視化，安全可見EDR關(guān)系，梳理通信邏輯，上帝視角對策略進行規(guī)劃，便于用戶第一時間發(fā)現(xiàn)威脅，一鍵清除威脅。簡單配置，離線升級，補丁管理EDR可將人類語言轉(zhuǎn)化為具體安全配置，明確、有效的進行主機Web離線導入升級包、一鍵自動升級，可在專網(wǎng)使用。四技術(shù)支持：安恒信息安全服務(wù)滲透測試服務(wù)擊者的數(shù)量卻依舊逐年增加并且攻擊事件頻發(fā)，我司總結(jié)多年的安全服務(wù)經(jīng)驗并結(jié)合海內(nèi)外成熟的滲透測試攻防理念引導客戶從攻擊者的角度出發(fā)來認識自己的信息系統(tǒng)安全防護能力，使用攻擊者的攻擊思路與工具來驗證自身的防護機制有效性、完整性和保密性從而真實的判斷當前所處的網(wǎng)絡(luò)安全形勢。安全加固建議EDR。增強服務(wù)器補丁安裝意識；APT對各類業(yè)務(wù)系統(tǒng)涉及到的服務(wù)器采用堡壘機進行安全管控。對重要業(yè)務(wù)系統(tǒng)開展等級保護測評工作。弱項，例如弱口令問題，主機基線配置問題；有效的面對各類安全事件并能快速處置。確有效快速的處置。試已經(jīng)備份的數(shù)據(jù)，從而保證備份數(shù)據(jù)有效性。WEB定時備份數(shù)據(jù)；WEBSELECTDROPTABLEDB_OWERDBA(sa)帳號；加密，而不是將明文字符串存放在數(shù)據(jù)庫中；刪除多余的危險數(shù)據(jù)庫存儲過程；需要設(shè)置僅允許它訪問極少數(shù)主機，雙向都要控制。安全培訓通過不同內(nèi)容的安全培訓加強企事業(yè)單位人員的安全技能和安全意識，從而做好安全建設(shè)和運營工作。培訓的形式較為豐富，可以是常見的安全意識宣講活動、內(nèi)部圓桌討論形式、安全試驗參與形式、應(yīng)急演練模擬攻擊試驗，再到后期的安全認證體系培養(yǎng)。CISP“注冊信息安全專業(yè)人員”（CertifiedInformationSecurityProfessionalCISP）全專業(yè)人員，具備保障信息系統(tǒng)安全的專業(yè)資質(zhì)。工業(yè)控制系統(tǒng)安全工程師（CISP-ICSSE）認證培訓簡介（可編程邏輯控制器（PLC）等）廣泛用于能源、交通、水利、冶金、石油化云安全工程師（CISP-CSE）認證培訓簡介對云計算技術(shù)的充分理解以及云計算安全問題的深入分析成為各行業(yè)展有著重要意義。大數(shù)據(jù)安全分析師（CISP-BDSA）認證培訓簡介CISP-BDSA作內(nèi)容，只有人員的素質(zhì)真正提升，才能讓安全事件、勒索病毒遠離我們的各類信息資產(chǎn)。五工控環(huán)境的適用性勒索病毒對工業(yè)生產(chǎn)的危害生產(chǎn)中斷生產(chǎn)的不可視。尤其流程行業(yè)的生產(chǎn)是連續(xù)的、相互關(guān)聯(lián)的，某個安全域的停車將導致整個企業(yè)的生產(chǎn)中斷。竊取機密生產(chǎn)工藝是生產(chǎn)企業(yè)的核心競爭力，如果勒索病毒回傳工業(yè)主機上的生產(chǎn)數(shù)據(jù)，企業(yè)將面臨生產(chǎn)工藝的泄漏以及生產(chǎn)數(shù)據(jù)的泄漏。這足可以導致一個企業(yè)的覆滅。惡意操作HMI軟件的操作權(quán)限，對現(xiàn)場工業(yè)設(shè)備進行惡意操作，直接破環(huán)設(shè)備安全或制造人員傷害。如果操作者了解流程行業(yè)知識，可直接操縱安全事故的發(fā)生。劫持設(shè)備PLC、DCS載更新。但是工業(yè)企業(yè)追求生產(chǎn)的穩(wěn)定性，一般不會對其進行更新。勒索病毒可以利用這些公布的漏洞，實現(xiàn)對工控系統(tǒng)的底層控制，獲取設(shè)備的控制權(quán)而不被操作人員發(fā)現(xiàn)。工控系統(tǒng)的勒索病毒防護標，盯上了工業(yè)領(lǐng)域。國內(nèi)多個工業(yè)企業(yè)遭受了勒索病毒的攻擊，工業(yè)主機被鎖、藍屏，不斷重啟，嚴重影響正常生產(chǎn)或?qū)е轮苯油．a(chǎn)。我們建議從以下幾點做好工控系統(tǒng)的勒索病毒事前防護工作。安全培訓IT系統(tǒng)設(shè)備在勒索病毒攻擊下出現(xiàn)異常或停車時，會影響上下游生產(chǎn)，這需要運營管IT營人員進行必要的工控知識培訓。另外，工控系統(tǒng)操作人員的安全意識非常重要，應(yīng)加強安全技術(shù)和意識的培訓，讓相關(guān)操作人員從思想意識形態(tài)上認識到工業(yè)信息安全的重要性，杜絕一切人為失誤。完全依賴安全設(shè)備或管理制度均不