勒索病毒应急措施及防护方案

本文共7916字

阅读时间大概15分钟

随着国家在政府、企业、教育及医疗等行业“互联网+”战略的不断推进，各个行业在逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮过程中，也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难，疯狂敛财，影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施，成为勒索病毒攻击的目标。

勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法读取原本正常的文件，对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件，绝大多数勒索软件均无法通过技术手段解密，必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付，一般无法溯源，因此危害巨大。

为帮助更多的朋友在中了勒索病毒后，能够正确处置并及时采取必要的自救措施，阻止损失扩大。同时为了建立更有效的防护措施避免勒索病毒的攻击。本文介绍一些相关的应急处置办法和防护方案，希望能对广大朋友有所帮助。

1.2019上半年勒索病毒攻击态势

2019 年上半年共监控到受勒索病毒攻击的计算机 225.6 万台，处理反勒索申诉案件超过 1500 例。从攻击情况和威胁程度上看，勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面，勒索病毒威胁也已深入人心，成为企业最为担忧的安全问题。

观察勒索病毒影响的行业，以传统行业与教育行业受害最为严重，互联网，医疗，企事业单位紧随其后。 2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算机超过250万台，时间分布上以2019年1月份最为活跃，2月到6月整体较为平稳，近期略有上升趋势。

2.勒索病毒产业链

随着勒索产业的迅速发展壮大，通过围绕数据加密，数据泄露，乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点，深受黑产青睐。其中典型的勒索病毒作案实施过程如下，一次完整的勒索可能涉及5个角色（一人可能充当多个角色）。 

1. 勒索病毒作者：负责勒索病毒编写制作，与安全软件免杀对抗。

   通过在“暗网”或其它地下平台贩卖病毒代码，接受病毒定制，或出售病毒生成器的方式，与勒索者进行合作拿取分成。

2. 勒索者：从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通过自定义病毒勒索信息后得到自己的专属病毒，与勒索病毒作者进行收入分成。

3. 传播渠道商：帮助勒索者传播勒索病毒，最为熟悉的则是僵尸网络，例Necurs、Gamut，全球有97%的钓鱼邮件由该两个僵尸网络发送。

4. 解密代理：向受害者假称自己能够解密各勒索病毒加密的文件，并且是勒索者提出赎金的50%甚至更低，但实际上与勒索者进行合作，在其间赚取差价。从世界范围内看，勒索病毒产业链养活了大量从事解密代理的组织，这些人直接购买搜索关键字广告，让勒索病毒受害企业通过他们完成解密交易，解密代理充当了中间人的角色，从中获取大量利益。

5. 受害者：通过勒索病毒各种传播渠道不幸中招的受害者，如有重要文件被加密，则向代理或勒索者联系缴纳赎金解密文件。 

3.病毒勒索五大形式

1. 数据加密勒索：

   这种方式是当前受害群体最多、社会影响最广，勒索犯罪中最为活跃的表现形式，该方式通过加密用户系统内的重要资料文档，数据，再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者，该黑产团伙在运营短短一年多的时间内，非法敛财20亿美元，该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转，在我国境内制造了大量GandCrab病毒感染事件。

2. 系统锁定勒索：

   该形式勒索与数据加密勒索有着极大的相似性，在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件，而是通过修改系统引导区，篡改系统开机密码等手段将用户系统锁定，导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒，将病毒捆绑在破解工具、激活工具、游戏外挂中，欺骗用户通过论坛，网盘，下载站等渠道传播。

3. 数据泄漏勒索：

   该类型勒索通常情况针对企业实施，黑客通过入侵拿到企业内相关机密数据，随后敲诈企业支付一定金额的赎金，黑客收到赎金后称会销毁数据，否则将进入撕票流程，在指定时间将企业机密数据公开发布，以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失，也会为极大的负面影响。

4. 诈骗恐吓式勒索：

   此类型勒索与企业数据泄露造成的勒索有着相似点，针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据，他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。

   此类勒索者会大量群发诈骗邮件，当命中收件人隐私信息后，利用收件人的恐慌心理实施欺诈勒索。勒索过程中，受害者由于担心自己隐私信息遭受进一步的泄漏，容易陷入圈套，从而受骗缴纳赎金。

5. 破坏性加密数据掩盖入侵真相

   在部分涉及各行业重要数据，各国家机密数据的染毒场景中，有时也会发现一些不同于感染传统勒索病毒的案例。区别在于，观察此类染毒环境中可发现，病毒对部分文件会进行多次加密，甚至对文件进行了无法修复的破坏，且病毒不做白名单过滤，极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏，而不在于图财。

   部分黑客组织在实施APT攻击、窃取企业数据之后，为消除痕迹，会进一步投递破坏性的勒索病毒，将用户资料加密，部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制，让这些攻击行动变得较为常见，从而有利于黑客组织掩盖真实攻击意图。

4.常见的勒索病毒

GandCrab

GandCrab勒索病毒首次出现于2018年1月，是国内首个使用达世币（DASH）作为赎金的勒索病毒，也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代，该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破，挂马，垃圾邮件等各种方式传播。

2018年10月16日，一位叙利亚用户在推特表示，GandCrab病毒加密了他的电脑文件，因无力支付勒索赎金，他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥，并在之后的病毒版本中将叙利亚地区列入白名单不再感染，这也是国内有厂商将其命名为“侠盗勒索”的原因。

2019年6月1日，GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金，平均每人每年入账1.5亿，并成功将这些钱洗白。同时宣布关闭勒索服务，停止运营团队，后续也不会放出用于解密的密钥，往后余生，要挥金如土，风流快活去”。

2019年6月17日，Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式，实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。

GlobeImposter

2017年5月，勒索病毒Globelmposter首次在国内出现。2018年2月全国各大医院受Globelmposter勒索病毒攻击，导致医院系统被加密，严重影响了医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。

Crysis

Crysis勒索病毒从2016年开始具有勒索活动 ，加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀，例：“id-编号.[gracey1c6rwhite@aol.com].bip”，其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器，安全意识薄弱的企业由于多台机器使用同一弱密码，面对该病毒极容易引起企业内服务器的大面积感染，进而造成业务系统瘫痪。

Sodinokibi

Sodinokibi勒索病毒首次出现于2019年4月底，由于之后GandCrab停止运营事件，该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播，也被国内厂商称为GandCrab的“接班人”，从该病毒传播感染势头来看，毫无疑问是勒索黑产中的一颗上升的新星。

WananCry

WannaCry于2017年5月12日在全球范围大爆发，引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家，致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏，勒索病毒也由此事件受到空前的关注，由于当前网络中仍有部分机器未修复漏洞，所以该病毒仍然有较强活力（大部分加密功能失效）。

Stop

Stop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播，加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档，勒索980美元，并声称72小时内联系病毒作者将获得50%费用减免，同时，该病毒除加密文件外，还具备以下行为特点。

1. 加密时，禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;

2. 通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站；

3. 因病毒执行加密时，会造成系统明显卡顿，为掩人耳目，病毒会弹出伪造的Windows 自动更新窗口；

4. 释放一个被人为修改后不显示界面的TeamViewer模块，用来实现对目标电脑的远程控制；

5. 下载AZORult窃密木马，以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。

Paradise

Paradise勒索病毒最早出现于2018年7月，该病毒勒索弹窗样式与Crysis极为相似，勒索病毒加密文件完成后将修改文件名为以下格式：[原文件名]_[随机字符串]_{邮箱}.随机后缀，并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。

Clop

Clop勒索病毒使用RSA+RC4的方式对文件进行加密，与其他勒索病毒不同的是，Clop勒索病毒部分情况下携带了有效的数字签名，数字签名滥用，冒用以往情况下多数发生在流氓软件，窃密类木马程序中。勒索病毒携带有效签名的情况极为少见，这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任，进而感染成功，对企业造成无法逆转的损失。

SCarab

Scarab索病毒主要利用Necurs僵尸网络进行传播，在国内也有发现通过RDP过口令爆破后投毒。该家族变种较多，部分变种感染后外观展现形态差异较大，例如今年3月份我国部分企业感染的ImmortalLock（不死锁）病毒则为Scarab家族在国内活跃的一个变种。

Maze

Maze（迷宫）勒索病毒也叫ChaCha勒索病毒，擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页，多见于黄赌毒相关页面，通常会逐步扩大到盗版软件、游戏外挂（或破解）、盗版影视作品下载，以及某些软件内嵌的广告页面，该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。

5.勒索病毒攻击手段

1. 弱口令

   计算机中涉及到口令爆破攻击的暴露面，主要包括远程桌面弱口令、SMB 弱口令、数据库管理系统弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。因系统遭遇弱口令攻击而导致数据被加密的情况，也是所有被攻击情况的首位。

2. 钓鱼和垃圾邮件

   比如 Sodinokibi 勒索病毒，就大量使用钓鱼邮件进行传播。攻击者伪装成 DHL向用户发送繁体中文邮件，提示用户的包裹出现无限期延误，需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。 

3. 利用漏洞

   目前，黑客用来传播勒索病毒的系统漏洞、软件漏洞，大部分都是已被公开且厂商已经修补了的安全问题，但并非所有用户都会及时安装补丁或者升级软件，所以即使是被修复的漏洞（Nday 漏洞）仍深受黑客们的青睐。一旦有利用价值高的漏洞出现，都会很快被黑客加入到自己的攻击工具中。

   常见系统漏洞

   Confluence RCE 漏洞 CVE-2019-3396

   WebLogic 反序列化漏洞 cve-2019-2725 

   Windows 内核提权漏洞 CVE-2018-8453 

   JBoss 反序列化漏洞 CVE-2017-12149 

   JBoss 默认配置漏洞 CVE-2010-0738 

   JBoss 默认配置漏洞 CVE-2015-7501 

   WebLogic 反序列化漏洞 CVE-2017-10271 

   “永恒之蓝”相关漏洞 CVE-2017-0146 

   Struts 远程代码执行漏洞 S2-052（仅扫描）CVE-2017-9805 

   WebLogic 任意文件上传漏洞 CVE-2018-2894 

   Spring Data Commons 远程代码执行漏洞 CVE-2018-1273 

4. 网站挂马

   如今年 3 月份再次活跃的 Paradise勒索病毒，就是通过网站挂马的方式进行传播的。攻击者使用了在暗网上公开售卖的Fallout Exploit Kit 漏洞利用工具进行攻击，该漏洞利用工具之前还被用来传播 GandCrab和一些其它恶意软件。如果访问者的机器存在漏洞，那么在访问这些被挂马站点时，就极有可能感染木马病毒。

   在使用的漏洞方面，Windows 自身漏洞和 flash 漏洞是网页挂马中，最常被使用到的漏洞。比如 CVE-2018-4878 flash 漏洞和 CVE-2018-8174 Windows VBScript 引擎远程代码执行漏洞就被用来传播 GandCrab。 

5. 破解与激活工具

   如国内流行的一些系统激活工具中，多次被发现携带有下载器，rootkit 木马，远控木马等。STOP 勒索病毒便是其中一类，从去年年底开始活跃的 STOP 勒索病毒，通过捆绑在一些破解软件和激活工具中，当用户下载使用这些软件时，病毒便被激活，感染用户计算机，加密计算机中的文件。

6. 通过U盘感染

   经常使用U盘共享拷贝文件，容易造成病毒传播和交叉感染。

6.勒索病毒入侵过程

病毒入侵的本质：虽病毒类型各异，但从病毒入侵的过程是存在共性的，这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程，一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。

“杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，该理论也可以用来反制此类攻击（即反杀伤链）。这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。

7.勒索病毒中毒特征

首先如何判断服务器中了勒索病毒呢？勒索病毒区别于其他病毒的明显特征：加密受害者主机的文档和数据，然后对受害者实施勒索，从中非法谋取私利。勒索病毒的收益极高，所以大家才称之为“勒索病毒”。

勒索病毒的主要目的既然是为了勒索，那么黑客在植入病毒完成加密后，必然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。所以，勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征，即表明已经中了勒索病毒。

8.勒索病毒自救措施

当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。例如：与被感染主机相连的其他服务器也存在漏洞或是有缺陷，将有可能也被感染。所以，采取自救措施的目的是为了及时止损，将损失降到最低。

正确处置方法

(一)    隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1. 物理隔离

   物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2. 访问控制

   访问控制常用的操作方法是加策略和修改登录密码。

   加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。

   修改登录密码的主要操作为：立刻修改被感染服务器的登录密码；其次，修改同一局域网下的其他服务器密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器；另一方面是为了防止黑客通过感染主机继续操控其他服务器。

有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播，如WannaCry勒索病毒，一旦有一台主机感染，会迅速感染与其在同一网络的其他电脑，且每台电脑的感染时间约为1-2分钟左右。所以，如果不及时进行隔离，可能会导致整个局域网主机的瘫痪。

另外，近期也发现有黑客会以暴露在公网上的主机为跳板，再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击，造成更大规模的破坏。

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。

(二)    排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。

另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。

所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。

(三)    联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

错误的处置方法

(一)    使用移动存储设备

当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时，病毒也可能通过U盘等移动存储介质进行传播。所以，当确认服务器已经被感染勒索病毒后，切勿在中毒电脑上使用U盘、移动硬盘等设备。

(二)    读写中毒主机上的磁盘文件

当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。

访问“拒绝勒索软件”网站，该网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室和英特尔公司（英特尔安全）网络保安全公司所推动的计划，旨在帮助勒索软件的受害者重新取回其加密数据，而无需支付赎金。

但是这个网站提供的解密密钥仅仅限于已经被破解或被各国执法机构查获的勒索病毒密钥。因此只能做为一个参考，最重要的工作还是做好日常的防护工作。

9.加强管理制度建设预防勒索病毒

1. 定期进行安全培训，做到“三不三要”

2. 杜绝弱口令系，加强口令管理

3. 对网络信息资产进行全面核查

4. 培养专业的网络安全管理人才

5. 对重要的网络服务进行远程访问限制

6. 重要的关键业务系统必须做好备份方案

10.勒索病毒立体防护解决方案

使用单一的安全产品或是单一的技术手段（如防火墙、IPS、杀毒软件）在面对勒索病毒的入侵时，往往面临“时效、单点、溯源”三大核心问题。一旦某一点被突破，特别是新型的病毒，则会直接碰触到业务系统及数据。为此勒索病毒防护必须依赖于全面的防护思路，通过多层、多维的防护措施，构建完整立体的病毒防护体系。

1. 第一道防线

   利用防火墙、上网行为管理等拦截侦查跟踪、武器构建、载荷投送三个阶段的攻击；

2. 第二道防线

   利用WAF防火墙、反垃圾邮件系统、漏洞扫描、终端安全系统、堡垒机以及流量分析系统来拦截漏洞利用、安装植入、命令与控制三个阶段的攻击；

3. 第三道防线

   最后使用数据备份系统建立最后的保障，以确保万一被黑客目标达成攻击后，可以使用备份的数据用以恢复业务系统的运行。

   注：备份是防止勒索病毒最后的保障，也是最重要的手段。做备份以注意以下几点：

   A、备份文件不要保存在本机上（否则病毒会将你的备份文件同时加密）。安全备份的原则是321原则，即保存三份数据副本，存储在两种不同的介质上，其中一份在异地。

   B、不要采用同步复制的方式（不然被加密的文件也会同步复制过覆盖原备份文件）。同步复制的方式固然可以将损失减少到最小，但一般只针对硬件故障，对于病毒、人为因素等逻辑错误无法恢复。