为帮助更多的组织单位有效应对勒索病毒威胁,信服君本期将分享勒索病毒急救措施,帮助组织单位进行快速应急响应。
判断是否感染勒索病毒
由于勒索病毒主要目的是勒索,攻击者在目标主机完成数据加密后,一般会提示受害者支付赎金。因此,勒索病毒有明显区别于一般病毒的典型特征,可以通过以下特征来判断是否感染勒索病毒。
电脑桌面出现勒索信息文件
主机被感染勒索病毒后,最明显的特征是电脑桌面或者文件目录下通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时显示勒索提示信息及解密联系方式。为了更加明显的提示受害者勒索信息,部分家族甚至直接修改电脑桌面背景。
以下是部分流行勒索病毒的勒索信息:
<< 滑动查看更多 >>
文件被篡改
主机被感染勒索病毒后,另一个明显的特征是主机上很多文件后缀名被篡改,导致文档、照片、视频等文件变成不可打开的形式。一般情况下,文件后缀名会被修改成勒索病毒家族的名称或者勒索病毒家族的代表标志,比如Phobos常用的加密后缀有:.dewar、.devil、.Devos、.eight、.eking等;Hospit在针对医疗行业进行攻击时,使用的加密后缀为.guanhospit,针对制造业发动攻击,使用的加密后缀为.builder;GlobeImposter的相关后缀就超过两百五十种,“十二生肖”系列、“十二主神”系列、“C*H”系列变种都曾在国内引起轩然大波。
业务访问异常
主机被感染病毒后,由于业务系统文件被篡改,或者病毒在主机上调用系统程序异常,都可能导致主机业务系统访问异常,甚至业务瘫痪的现象。比如早期部分Wannacry变种永恒漏洞利用失败导致srv.sys驱动异常出现主机蓝屏现象。
勒索病毒急救响应措施
基础急救措施
针对小型单位或者没有能力进行病毒溯源的组织,在勒索病毒响应方面,最先考虑的考虑是尽快切断病毒在内网的传播感染。
1.断网隔离
第一时间将所有感染主机进行网络隔离,可采用深信服的一键全局隔离方案,或采取拔网线的物理方式,这样是防止勒索病毒在内网进一步传播感染,避免组织造成二次损失最直接的方式。至于其它未中招的主机,建议根据灾情实际情况,选择是否隔离网络。理论上来讲,如果灾情严重,建议所有主机都隔离网络,待应急结束,加固完成后,再放通网络。
2.端口隔离
进一步关闭135、139、443、445、3389等TCP端口,以及137、138等UDP端口,避免病毒利用端口进行传播。尤其RDP端口,如无业务需要,建议直接关闭,如有业务需要,也建议通过微隔离等手段进行策略访问控制及封堵。
3.病毒查杀
确保病毒不会在内网横向扩散后,借用病毒查杀工具进行病毒全盘扫描,找到病毒文件进行隔离查杀处置。如主机核心系统文件被加密,则进行系统重装。
4.加固防范
为避免下一次感染,对网络进行加固升级防护措施。包括:
及时对操作系统、设备、以及软件进行打补丁和更新;
确保安全设备及安全软件等升级到最新版本,包括网络上的反病毒、入侵防护系统、以及反恶意软件工具等;
做好网络安全隔离,将网络隔离到安全区,确保某个区域的感染不会轻易扩散到其他区域;
建立并实施自带设备安全策略,检查并隔离不符合安全标准(没有安装反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备;
建立并实施权限与特权制度,使无权限用户无法访问到关键应用程序、数据、或服务;
制定备份与恢复计划,最好能将备份文件离线存储到独立设备。
完善急救措施
针对大型单位或者有溯源需求的组织,在急救过程需要注意保留现场,避免给后续做防御加固、解密恢复带来困难。
1.梳理资产,确认灾情
尽快判断影响面,有利于后续工作开展及资源投入,确认感染数量、感染终端业务归属、感染家族等详情。梳理的表格可参考如下:
2、保留现场,断开网络
尽快断网,降低影响面,保留现场,不要轻易重启或破坏(若发现主机还没完成加密的情况,可以即刻断电,交给专业安全人员处理),避免给后续溯源分析、解密恢复带来困难。
3、确认诉求,聚焦重点
确认诉求,是勒索病毒应急响应的核心。
受害组织必须明确核心诉求,比如数据解密、加固防御、入侵分析(溯源取证)、样本分析、企业内网安全状况评估等,应急响应人员则根据核心诉求,按照紧急程度依次开展工作。
4、样本提取,数据收集
提取系统日志:将C:\Windows\System32\winevt\Logs目录拷贝一份到桌面,然后在桌面上将其压缩为以感染主机命名的压缩包,例如:192.168.1.1-windows-log.zip
提取加密文件:选取若干文件较小的被加密文件,留作后面解密尝试,以及用于判断勒索病毒家族。
- 判断病毒文件是否还在加密
使用everything文件检索工具,搜索被加密文件,比如文件加密后缀为“Ares666”,那么就搜索“*.Ares666”,按修改时间排序,观察是否有新的被加密文件,如果正在产生新加密文件,立刻关机,关机后可将磁盘进行刻录用来分析;如果已经停止加密,则继续进行后续步骤。
- 收集系统日志文件
Windows系统日志目录为“C:\Windows\System32\winevt\Logs”,可以整个打包下来。(整体文件比较大,可进行压缩,直接压缩可能会失败,原因是文件被占用,将Logs目录拷贝到桌面再压缩即可。)
- 采集家族信息
被加密的文件不是病毒样本,因此可把完整的加密后缀、勒索文本/弹窗一起保存或截图保存,如果截图则截图要完整和清晰。
- 查找病毒文件
勒索病毒文件通常都比较新,可以使用everything搜索“*.exe”,按修改时间(或创建时间)排序,通过目录和文件名猜测可能的病毒文件,一般可能性比较大的目录包括:
“C:\Windows\Temp”
“C:\Users\[user]\AppData\Local\Temp”
“C:\Users\[user]\Desktop”
“C:\Users\[user]\Downloads”
“C:\Users\[user]\Pictures”等等。
5、判断家族,尝试解密
通过深信服EDR官网根据勒索信息文件和加密后缀进行家族搜索,从而确认病毒家族,EDR官网网址如下:
https://edr.sangfor.com.cn/#/information/ransom_search
如果该病毒家族有解密工具,可直接进行下载,注意需要将原加密数据备份后再进行解密,谨防损坏后永久性丢失数据。
6、溯源取证,封堵源头
通过对主机日志、安全产品日志的详细排查,定位入侵来源,还原攻击过程,尽快对攻击入口进行封堵。一般来说通过文件修改时间,确定各个主机之间的先后感染顺序,一般情况下,最开始被感染的主机,即内网入侵点之所在。
7、加固防御,以绝后患
加固防御,也是勒索病毒应急响应的重要组成部分,是防止二次伤害,二次中招的关键步骤,主要的加固和防御方向如:避免弱口令,避免多个系统使用同一口令;漏洞管理,定期漏扫,及时打补丁,修复漏洞;安装杀毒软件,定期杀毒;数据备份,对重要的数据文件定期进行非本地备份;安全意识宣传,包括不使用不明来历的U盘、移动硬盘等存储设备、不要点击来源不明的邮件以及附件、不接入公共网络也不允许内部网络接入来历不明外网PC等等。