勒索病毒应急响应指南

声明

本文是学习2018勒索病毒白皮书政企篇. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

勒索病毒应急响应指南

政企单位如果已经感染勒索病毒，鉴于等待专业人员的救助往往需要一定的时间，所以，奇安信终端安全实验室建议及时采取必要的自救措施，有效止损，将损失降到最低。

如何判断中毒

勒索病毒的主要目的是为了勒索，所以在植入病毒完成加密后，必然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。

业务系统无法访问

2018年以来，勒索病毒的攻击不再局限于加密核心业务文件，转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营，甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因，一旦遭到勒索攻击的直接后果就是生产线停产。

当然，业务系统出现无法访问、生产线停产等现象时，并不能100%确定是服务器感染了勒索病毒，也有可能是遭到DDoS攻击或是中了其他病毒等原因所致，还需要结合以下特征来判断。

电脑桌面被篡改

服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。

![lx_clip1541414802055

文件后缀被篡改

服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改。一般来说，文件后缀名会被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等；Satan家族的后缀.satan、sicck；Crysis家族的后缀有.ARROW、.arena等。

如何紧急自救

政企单位如果已经感染勒索病毒，鉴于等待专业人员的救助往往需要一定的时间，所以奇安信终端安全实验室建议及时采取必要的自救措施，及时止损，将损失降到最低。

隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机。隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器，另一方面是为了防止黑客通过感染主机继续操控其他服务器。

隔离主要包括物理隔离和访问控制两种：物理隔离常用的操作方法是断网和关机；访问控制常用的操作方法是加策略和修改登录密码。

排查业务系统

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。所以，在已经隔离被感染主机后，需要对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

请拨打奇安信集团全国400应急热线：4008 136 360 转2 转4。

如何进行恢复

一般来说，可以通过历史备份、解密工具、重装系统来恢复被感染的系统，建议在专业人员指导下进行，避免造成其他不必要的损失。

历史备份还原

事先进行备份，既是最有效也是成本最低的恢复文件的方式。如果事前已经对文件进行了备份，就不会再担忧和烦恼，可以直接自行恢复被加密的文件。值得注意的是，在文件恢复之前，应确保系统中的病毒已被清除，已经对磁盘进行格式化或是重装系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。

解密工具恢复

绝大多数勒索病毒使用的加密算法都是国际公认的标准算法，这种加密方式的特点是，只要加密密钥足够长，普通电脑可能需要数十万年才能够破解，破解成本是极高的。通常情况，如果不支付赎金是无法解密恢复文件的。

但是，对于以下三种情况，可以通过奇安信提供的解密工具恢复感染文件。

1. 勒索病毒的设计编码存在漏洞或并未正确实现加密算法。
2. 勒索病毒的制造者主动发布了密钥或主密钥。
3. 执法机构查获带有密钥的服务器，并进行了分享。

可以通过网站（http://lesuobingdu.360.cn/）查询哪些勒索病毒可以解密。例如：今年下半年大规模流行的GandCrab家族勒索病毒，GandCrabV5.0.3及以前的版本可以通过解密大师进行解密。

需要注意的是：使用解密工具之前，务必要备份加密的文件，防止解密不成功导致无法恢复数据。

重装操作系统

当文件无法解密，也觉得被加密的文件价值不大时，也可以采用重装系统的方法，恢复系统。但是，重装系统意味着文件再也无法被恢复。另外，重装系统后需更新系统补丁，并安装杀毒软件和更新杀毒软件的病毒库到最新版本，而且对于服务器也需要进行针对性的防黑加固。

当然，还有一种我们并不推荐的恢复方式，就是通过支付赎金来解密。勒索病毒的赎金一般为比特币或其他数字货币，数字货币的购买和支付对一般用户来说具有一定的难度和风险，所以即便选择支付赎金的解密方式，也不建议自行支付赎金，请联系专业的安全公司或数据恢复公司进行处理，以保证数据成功恢复。

如何避免中毒

奇安信终端安全实验室提醒广大政企单位从以下角度入手进行勒索病毒防范：

及时更新最新的补丁库

病毒大规模爆发的原因都是因为补丁安装不及时所致，及时更新补丁是安全运维工作的重中之重。

如果由于业务特殊性，对打补丁有着要求非常严格的要求，建议选择专业的补丁管理产品。例如奇安信终端安全产品就集成了先进的补丁管理功能，能够进行补丁编排，对补丁按照场景进行灰度发布，并且对微软更新的补丁进行二次运营，能够解决很多兼容性问题，更大程度解决补丁难打的问题。

重要资料定期隔离备份

尽量建立单独的文件服务器进行重要文件的存储备份，即使条件不允许，也应对重要的文件进行定期隔离备份。

提高网络安全基线

掌握日常的安全配置技巧，如对共享文件夹设置访问权限，尽量采用云协作或内部搭建的wiki系统实现资料共享；尽量关闭3389、445、139、135等不用的高危端口，禁用Office宏等。

保持软件使用的可信

平时要养成良好的安全习惯，不要点击陌生链接、来源不明的邮件附件，打开前使用安全扫描并确认安全性，尽量从官网等可信渠道下载软件，目前通过软件捆绑来传播的病毒也在逐渐增多，尤其是移动应用环境，被恶意程序二次打包的APP在普通的软件市场里非常常见。

选择正确的反病毒软件

随着威胁的发展，威胁开始了海量化和智能化趋势。对于海量化的威胁，就需要利用云计算的能力来对抗威胁海量化的趋势，因此在选择反病毒软件时，需要选择具备云查杀能力的反病毒软件。

建立高级威胁深度分析与对抗能力

很多智能威胁通过多种手段来躲避传统反病毒软件的查杀，这时就需要建立高级威胁深度分析和对抗能力，从终端、事件和时间等多维度综合分析，配合全流量威胁检测手段，可以更加有效的识别新兴威胁。

提升新兴威胁对抗能力

通过对抗式演习，从安全的技术、管理和运营等多个维度，对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验，持续提升企业对抗新兴威胁的能力。

延伸阅读

更多内容 可以 2018勒索病毒白皮书政企篇. 进一步学习

联系我们

株洲市畜禽养殖污染防治条例.pdf