10个问答，让你读懂勒索病毒！

新钛云服已累计为您分享689篇技术干货

1

什么是勒索病毒？

勒索病毒是一种极具破坏性、传播性的恶意软件，主要利用多种密码算法加密用户数据，恐吓、胁迫、勒索用户高额赎金。

2

勒索病毒危害有哪些？

· 直接损失：大额赎金或者定制化的赎金（现在的趋势）、业务中断损失、数据恢复成本

· 间接损失：公司形象和声誉、客户流失、机密数据泄露、安全违规惩罚

3

 主要传播方式是什么？

· 社会工程学：广撒网式的钓鱼邮件，通过诱导点击中毒

· 软件传播：热门运维工具、播放器、游戏等在下载站、贴吧、论坛发布

· 漏洞利用：已知的应用漏洞，利用修复时间差进行攻击

· 对外暴露的攻击面：通过对外端口服务弱口令爆破来攻击。攻击者侧会持续优化自动化扫描攻击工具

· 供应链传播：隐藏恶意软件来感染供应商的应用程序，达到攻击最终用户

4

什么是勒索RaaS?

勒索软件即服务RaaS ( Ransomware-as-a-Service），勒索攻击产业化，从业者无需任何专业技术知识，就可以毫不费力地发起网络敲诈活动。

· 勒索病毒开发者：负责开发和更新勒索软件，及加解密工具

· 攻击者：负责攻击各个客户，攻击者可以是独立个体或者团队，按照攻击成功数量分成

· 组织及平台运营：负责整体运作和统筹，包括资源调集和酬劳激励分配

5

 中了勒索病毒是否只能付赎金？

不是。

· 首先在没有找到被攻击的入口，排查清楚现状的情况下，付了赎金虽然数据恢复了，但是很可能被进行2次攻击。因为勒索团伙可能是无职业操守的，看到有得逞的情况，在自己赚到一票后，把自己的攻击成果卖给类似的团伙进行再攻击。

· 加密程序在运行时可能会出现异常加密错误，即使有解密工具部分文件也恢复不回来。所以在勒索的沟通中，勒索者可以提供部分文件的恢复，一方面是测试自己的解密工具是否可解，另一方面也是向被勒索者证明自己是可以解密文件的，让受害者愿意支付赎金。

· 有些安全厂商可以通过技术手段恢复有结构化冗余的文件，如数据库。

· 公开的解密工具，如No More Ransom项目旨在帮助被勒索攻击受害者解密文件，而无需支付赎金，但并不一定所有的都可以解密，有中文界面查询解密工具。

https://www.nomoreransom.org/zh/index.html

6

中勒索病毒如何进行第一时间应急?

·  隔离已感染机器：已感染的机器，禁用有线/无线网卡，拔掉物理网线

·  如果同一网段有多台机器感染，可通过交换机进行断网，修改无线网络密码

·  已感染的电脑和服务器，立即关机，避免勒索病毒进一步加密所有文件

·  专人整理感染机器列表，供后续处置

7

 如何排查和处理未中勒索病毒的机器？

对暂未明确发现感染勒索病毒迹象的机器，基于勒索病毒的传播方法和传播途径，可采取一些基本的安全措施快速进行防护，避免感染。这些安全措施包括：

· 修改个人电脑、应用服务器、域控服务器登录密码，修改为强密码

·  禁用guest账号

·  统一关闭139、445端口，关闭RDP服务

·  更新操作系统安全补丁

8

如何分析已感染的机器？

根据我们处置勒索病毒的经验，可优先从以下几方面进行，包括：

· 和感染机器人员进行深入沟通，如什么时间发现异常，之前执行过哪些操作等，可帮助快速定位可能的病毒感染源

· 通过任务管理器，查看CPU、内存、IO使用率高的可疑进程（特别是文件很多的机器，勒索病毒加密需要占用大量机器资源）

· 安装病毒查杀工具，快速查找病毒文件等

· 安装其它系统安全工具，包括微软提供的Sysinternals Suite安全套件（autoruns64.exe、procexp64.exe、procmon.exe、tcpview.exe）、PCHunter，火绒剑等进行分析

· 查看相关的系统日志进行分析，推荐微信读书APP中的《网络安全应急响应技术实战指南》奇安信安服团队出品。

· Windows日志分析小工具，可以配合Security.evt历史安全日志，查看是非有被恶意入侵的踪迹。

https://github.com/dogadmin/windodws-logs-analysis

9

 安全厂商的产品一般如何应对勒索病毒？

· 感染本机异常行为：在系统盘符下创建具有隐藏属性的随机名文件目录。文件目录里会有若干常见文件格式的随机文件，防护系统使用这些随机文件来诱捕勒索病毒，达到增强防护的目的。

· 加密文件异常行为：被认为不安全的进程在特定时间间隔内尝试修改、删除或更名几个文件，进程尝试修改受保护的文件扩展名类型，自动备份被可疑程序更改的文件，为终端上正加密的文件创建备份副本。

· 文件系统驱动过滤：加载过滤驱动，所有对文件的IO 都会被过滤驱动拦截，对IO请求进行判断，合法放行，否则阻断。

· 网络传播行为：在网络层面部署流量检测产品，相当于网络层面的监控摄像头，即时发现网络层面的攻击并报警或拦截。

10

 如何经济有效的抵御勒索病毒？

· 渗透测试：

验证现有安全措施，梳理对外暴露的攻击面，以攻击者的视角发现可能被入侵的渠道，为制定风险管理计划提供依据。

· 备份解决方案：

有效的数据备份，及配合在非生产环境的日常演练，在企业不幸中勒索病毒后是非常保命的兜底方案。当然此解决方案自身的安全和易用性也是非常必要的，简单总结如下几点与勒索病毒有关的点。

·  数据安全：备份数据可防勒索、防篡改、防误删，可保障备份数据和备份系统的安全。

·  备份恢复：多节点并行备份，多节点并行恢复，以秒级快速恢复为主，保障业务快速恢复上线。

·   快速恢复：虚拟机可直接秒级快速挂载，同一版本可无限制挂载，可临时接管业务，能在线接管业务。

·  用户易用性：开箱即用，15分钟部署完，普通人5分钟上手易用。

如您对以上渗透测试和备份方案感兴趣，请联系我们进一步交流！

联系新钛云服

官网：www.tyun.cn

热线：400-920-0057

邮箱：[email protected]

我们在勒索病毒应急这块，也有丰富的经验，期待您的来电。

某企业：勒索病毒应急响应

    推荐阅读   

    了解新钛云服