勒索病毒网络安全应急响应
1、常见勒索病毒
WannaCry勒索病毒、GlobeImposter勒索病毒、Crysis/Dharma勒索病毒、GandCrab勒索病毒、Satan勒索病毒、Sacrab勒索病毒、Matrix勒索病毒、Stop勒索病毒、Paradise勒索病毒
2、常规处置方法
隔离被感染的服务器、主机
防止勒索病毒通过网络继续感染其它服务器、主机,防止攻击者通过感染的服务器/主机继续操纵其它设备。
措施:物理隔离:断网、断电,关闭服务器/主机的无线网络、蓝牙连接等,禁用网卡,并拔掉服务器/主机上的外部存储设备;
访问控制:对访问网络资源的权限进行严格控制和认证,加策略和修改登录密码;
排查业务系统
检查核心业务系统和备份系统,确定感染范围。
确定勒索病毒种类,进行溯源分析,从加密的磁盘中寻找勒索信息,再通过勒索病毒处置工具查看是否可以解密;
溯源分析:查看服务器/主机上的日志和样本,可疑文件,工具进行日志和样本分析;
恢复数据和业务、备份数据恢复业务、磁盘数据恢复
由第三方方安全公司进行后续防护建议、服务器终端防护、强密码、杀毒软件、打补丁、开启日志收集;
网络防护与安全监测
内网安全域合理划分,限制横向移动范围;
应用系统防护及数据备份
加固、备份、预案
3、错误处置方法
| 错误做法 | 影响 |
| 在中毒服务器/主机上插U盘、硬盘等移动存储设备 | 勒索病毒会对服务器/主机上的所有文件加密; |
| 用网上的解密工具反复读/写磁盘中的文件 | 降低数据正确恢复的概率,也可能破坏原始文件 |
4、常见工具
被攻击之后,确定勒索病毒种类,在常用搜索引擎里进行搜索判断能否解密。如奇安信勒索病毒搜索引擎:lesuobingdu.qianxin.com和360安全卫士勒索病毒搜索引擎:lesuobingdu.360.cn。
5、勒索病毒应急思路
了解事态现状、系统架构、感染时间、确定感染面;
对已中招服务器/主机下线隔离;未中招做好防护:关闭端口加固、补丁等等
对服务器/主机进行检查:
系统排查
| 排查项目 | Windows操作系统 | Linux操作系统 |
| 账户 | 打开本地用户与组:lusrmgr.msc 查看所有用户:wmic useraccount get name,sid | cat /etc/passwd :查看所有用户信息 awk -F: '{if($3==0)print KaTeX parse error: Expected 'EOF', got '}' at position 2: 1}̲' /etc/passwd :…":可查看能够登录的账户 |
| 进程 | tasklist或任务管理器 | 网络连接:netstat -ano |
| 任务计划 |
|
|
| 服务 |
|
|
| 启动项 |
|
|
| 补丁 |
|
|
| 日志 | 安全日志是否有暴力破解记录,异常ip地址登录记录,溯源,定位攻击的突破口 | 安全日志是否有暴力破解记录,异常ip地址登录记录,溯源,定位攻击的突破口 |
| 网络流量 |
|
|
|
|
|
清除加固
对服务器/主机进行抑制和恢复:对恶意账号、进程、任务计划、启动项、服务等进行清理,删除恶意样本、打补丁、强密码、安装杀毒软件、部署流量检测设备。
6、如何判断遭遇勒索病毒攻击?
业务系统无法访问;文件后缀被篡改;勒索信展示;桌面上有新的文本文件。
7、了解勒索病毒的加密时间
推断攻击者执行勒索程序的时间轴,方便后续进行溯源。
Windows:通过文件修改日期初步判断(要综合判断,因为攻击者可能伪造时间)
Linux:stat:可查看Access访问、Modify内容修改、Change属性改变三个时间
