《网络安全应急响应技术实战指南》知识点总结（第4章 勒索病毒网络安全应急响应）

一、勒索病毒概述

机器一旦遭受勒索病毒攻击，会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且受害者无法读取原本正常的文件。
勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件，绝大多数无法通过技术手段解密，必须拿到对应的解密私钥才有可能无损还原被加密文件。

二、常见的勒索病毒

1、wannacry勒索病毒
传播方法：永恒之蓝漏洞（SMB协议）
2、GolobeImposter、GrandCrab勒索病毒
传播方法：RDP暴力破解、钓鱼邮件、捆绑软件等。

（具体的可去查阅资料）

三、勒索病毒传播方法

1、服务器入侵传播（攻击者通过系统或软件漏洞等方法入侵服务器，管理员账号、密码被破解是服务器入侵的主要原因）
2、利用漏洞自动传播（通过系统自身漏洞进行传播）
3、软件供应链传播（利用软件供应商与最终用户之间的信任关系）
4、邮件附件传播（通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件，在附件中夹带含有恶意代码的脚本文件，一旦用户打开邮件附件，便会执行其中的脚本，释放勒索病毒）
5、利用挂马网页传播（入侵主流网站的服务器，在正常网页中植入木马，访问者在浏览网页时，其利用IE或flash等软件漏洞进行攻击）

四、勒索病毒防御方法

1、个人终端防御技术

1）文档自动备份隔离
2） 综合性反勒索病毒技术

2、企业级终端防御技术

1）云端免疫技术（通过终端安全管理系统，由云端直接下发免疫策略或补丁，帮助用户进行防护或打补丁。是一种折中的解决方案，未打补丁系统的安全性仍然比打了补丁的系统的安全性弱）
2）密码保护技术
（1）采用弱密码检验技术，强制管理员使用复杂密码
（2）采用反暴力破解技术，对陌生IP地址用户的登录位置和登录次数进行严格控制
（3）采用VPN或双因子认证技术

五、常规处置方法

1、隔离被感染的服务器/主机（拔网线/断网）
2、排查业务系统
3、确定勒索病毒种类，进行溯源分析
4、恢复数据和业务

六、错误处置方法

1、使用移动存储设备（用U盘）
会对U盘存储的内容进行加密，使损失扩大

2、读/写“中招”服务器/主机的磁盘文件
轻信网上的各种解密工具或方法，使用其对磁盘进行反复读写操作，有可能破坏磁盘空间中的原始文件，导致有希望恢复的文件彻底无法恢复。

七、常用工具

1、勒索病毒查询工具
奇安信、360安全卫士的勒索病毒搜索引擎

2、日志分析工具

八、技术操作指南（如何做应急）

1、初步判断，了解感染时间等，并确定感染面

• 如何判断遭遇勒索病毒攻击

1）业务系统无法访问（可能感染了勒索病毒，也可能遭遇了DDos攻击或是中了其他病毒）
2）文件后缀被篡改
3）勒索信展示（通常在桌面或磁盘根目录找到）
4）桌面有新的文本文件（文件主要内容包括加密信息、解密联系方法等）

• 了解勒索病毒加密时间

了解被加密文件的修改时间及勒索信建立时间，以此推断攻击者执行勒索程序的时间轴，以便后续依据此时间进行溯源分析，追踪攻击者的活动路径。

• 了解中招范围

通过安装集中管控软件或全流量安全设备来查看中招范围
还可以通过it系统管理员收集网络信息，首先检查同一网段服务器或主机，再拓展到相邻网段进行排查。

• 了解系统架构

了解现场环境的网络拓扑、业务架构及服务器类型等关键信息。

2、提供临时处置建议
1）对已中招的服务器或主机
（1）物理隔离：断网（拔掉网线、禁用网卡）和关机。如果是笔记本电脑还需关闭无线网络。
（2）访问控制：
加策略：使用防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口3389）暴露在公网上（有必要开启的话，可通过VPN登录后访问），并关闭445、139、135等不必要的端口。
修改登录密码：修改被感染服务器或主机的登录密码；修改同一局域网下其他服务器或主机的登陆密码；修改最高级系统管理员的账号密码。且修改的密码应为高强度的复杂密码。

2）对未中招的服务器或主机
防火墙全局关闭3389
开启Windows防火墙
安装最新杀毒软件或服务器加固版本
系统进行补丁更新

3）针对未明确是否中招的服务器或主机

需要对该服务器或主机做策略隔离或断网隔离，在确保该服务器或主机未连接网络的情况下，开启检查。

3、检查工作（系统和日志）

系统排查（是否有可疑账号、可疑进程、异常的网络连接、可疑任务计划）
确定感染时间和途径并及时遏制，若涉及溯源和证据固定，则以下所有排查确定的可疑对象需要提前做好备份准备。
1）文件排查（找距离文件加密时间1~3天创建和修改的文件，或查找可疑时间节点创建和修改的文件）
Windows系统排查方法：根据勒索病毒加密时间，检查桌面及各个盘符根目录下的异常文件。
病毒可伪装成“svchost.exe”文件等

2）补丁排查（只针对Windows系统）
重点检查系统是否安装“永恒之蓝”ms17-010漏洞补丁。
可使用systeminfo命令，查看系统补丁情况。

3）账户排查
打开”本地用户和组“窗口，可查找可疑用户和组。此方法可查到隐藏的用户。

4）网络连接、进程、任务计划排查
Windows系统排查方法：
（1）查看可疑网络连接：

（2）查看可疑进程
通过网络连接命令定位到可疑进程后，可使用tasklist或在任务管理器中查看进程信息，随后可通过威胁情报平台对该进程文件进一步分析。
（3）查看可疑任务计划
打开”任务计划程序“窗口，检查是否存在异常任务计划。
（4）查看cpu、内存占用情况及网络使用率
（5）查看注册表

日志排查（是否有暴力破解记录、异常IP地址登录记录等）

网络流量排查

4、检查工作完成后，需要对服务器或主机进行抑制和恢复：
主要包括对检查过程中发现的恶意账号、进程、任务计划等进行清理，删除恶意样本。对系统进行补丁更新，使用高复杂强度的密码，并 安装杀毒软件进行防御。

ps：可通过看案例进一步学习如何操作！！