应急响应-常规处置方法

在勒索病毒的处置上，通常需要应急响应工程师采取手动处置与专业查杀工具相结合的方法。当发现勒索病毒后，可以参考使用以下处置方法。

隔离被感染的服务器/主机

• 隔离被感染的服务器/主机的目的：一是防止勒索病毒通过网络继续感染其他服务器/主机；而是防止攻击者通过感染的服务器/主机继续操控其他设备。
• 有一类勒索病毒会通过系统漏洞或弱密码向其他服务器/主机传播，如WannaCry勒索病毒，一旦有一台服务器/主机感染，则还会迅速感染与其在同一网络下的其他服务器/主机，且每台服务器/主机的感染时间约为1~2分钟。所以，如果不及时进行隔离，可能会导致整个局域网服务器/主机的瘫痪。另外，攻击者会以暴露在公网上的服务器/主机为跳板，在顺腾摸瓜找到核心业务服务器/主机进行勒索病毒攻击，造成更大规模的破坏。
• 在确认服务器/主机感染勒索病毒后，应立即隔离被感染服务器/主机，防止病毒继续感染其他服务器/主机。隔离可主要采用以下两种手段：

物理隔离

• 主要为断网或断电，关闭服务器/主机的无线网络、蓝牙连接等，禁用网卡，并拔掉服务器/主机的所以外部存储设备；

访问控制

• 访问控制主要是指对访问网络资源的权限进行严格认证和控制，常用的操作方法是加策略和修改登录密码。

排查业务系统

• 业务系统打的受影响程度直接关系着事件的风险的等级。在隔离被感染服务器/主机后，应对局域网的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，已确定感染范围。另外，备份系统如果是安全的，就可以避免支付赎金，顺利恢复文件。
• 因此，在确认服务器/主机感染勒索病毒，并确认已经将其隔离的情况下，应立即对核心业务系统和备份系统进行排查。
• 注意，在完成以上操作后，为了避免造成更大的损失，建议在第一时间连续专业技术人员或安全从业人员，对勒索病毒的感染时间、传播方法、感染种类问题进行系统排查。

确定勒索病毒种类、进行溯源分析

• 勒索病毒在感染服务器/主机后，攻击者通常会留下勒索提示信息。受害者可以先从被加密的磁盘目录中寻找勒索提示信息，一些提示信息中会包含勒索病毒的标识，由此可直接判断本次感染的是哪一类勒索病毒，在通过勒索病毒处理工具查看是否能够解密。
• 溯源分析一般需要查看服务器/主机上保留的日志和样本。通过日志可以判断出勒索病毒可以通过那种方法入侵服务器/主机，如果日志被删除，就需要在服务器/主机上寻找相关的病毒样本或可疑文件，在通过这些可疑文件判断病毒的入侵途径。当然，也可以直接使用专业的日志分析工具或联系专业技术人员进行日志及样本分析。

恢复数据和业务

• 在服务器/主机上如果存在数据备份，那么可以通过还原备份数据的方式直接恢复业务；如果没有数据备份，那么在确定是那种勒索病毒之后，可通过查找相应的解密工具进行数据恢复；如果数据比较重要，并且业务继续恢复，还可以尝试使用以下方法：

使用磁盘数据恢复手段，恢复被删除的文件；

向第三方解密中介、安全公司寻求帮助。

后续防护建议

服务器、终端防护

• 所有服务器、终端应强行实施复杂密码策略，杜绝弱密码；
• 杜绝使用通用密码管理所以机器；
• 安装杀毒软件、终端安全管理软件，并及时更新病毒库；
• 及时安装漏洞补丁；
• 服务器开启关键日志收集功能，为安全事件的追踪溯源提供支撑。

网络防护与安全监测

• 对内网的安全域进行合理划分，各个安全域之间严格限制访问控制列表（ACL），限制横向移动的范围；
• 重要业务系统及核心数据库应设置独立的安全区域，并做好区域边界的安全防御工作，严格限制重要区域的访问权限，并关闭Telent、Snmp等不必要、不安全的服务；
• 在网络内架设IDS/IPS设备，及时发现、阻断内网的横向移动行为；
• 在网络内架设全流量设备，已发现内网的横向移动行为，并为追踪溯源提供支撑。

应用系统防护及数据备份

• 需要对应用系统进行安全渗透测试与加固，保障应用系统自身安全可控；
• 对业务系统及数据进行及时备份，并定期验证备份系统及备份数据的可用性；
• 建立安全灾备预案，一旦核心系统遭受攻击，需要确保备份业务系统可以立即启用，同时，需要做好备份系统与主系统的安全隔离工作。避免主系统和备份系统同时被攻击，影响业务连续性。