勒索病毒應急措施及防護方案

導讀：隨著勒索產業的迅速發展壯大，通過圍繞數據加密，數據洩露，乃至詐騙等核心元素展開的網絡勒索類型也是千姿百態。網絡勒索具有匿名性、隱蔽性、便捷性等特點，深受黑產青睞。

在病毒防護體系建設時，我們需要分析病毒入侵的本質。雖病毒類型各異，但從病毒入侵的過程是存在共性的，這與洛克希德-馬丁公司提出的「網絡殺傷鏈」理論非常契合。即整個入侵過程，一般會經歷偵查跟蹤、武器構建、載荷投送、漏洞利用、安裝植入、命令與控制、目標達成七個階段，每個階段均會有對應的行為或特徵，可用於進行檢測防護。

當然對應的最有效檢測防護技術手段也不一致，在越早的殺傷鏈環節發現和阻止攻擊，病毒防護效果就越好，修復和時間成本就越低，而絕非只有到安裝植入後，才進行介入檢測防護，否則所做的防護工作往往事倍功半。

本文主要內容：

勒索病毒產業鏈

常見的勒索病毒

勒索病毒攻擊手段

勒索病毒中毒特徵

勒索病毒立體防護解決方案

隨著國家在政府、企業、教育及醫療等行業「網際網路+」戰略的不斷推進，各個行業在逐漸數位化、網絡化、智能化、逐步擁抱產業網際網路化的大浪潮過程中，也逐漸暴露出一系列網絡安全問題。勒索病毒也乘機發難，瘋狂斂財，影響日漸擴大。全球範圍內的交通、能源、醫療等社會基礎服務設施，成為勒索病毒攻擊的目標。勒索病毒，是伴隨數字貨幣興起的一種新型病毒木馬，通常以垃圾郵件、伺服器入侵、網頁掛馬、捆綁軟體等多種形式進行傳播。機器一旦遭受勒索病毒攻擊，將會使絕大多數文件被加密算法修改，並添加一個特殊的後綴，且用戶無法讀取原本正常的文件，對用戶造成無法估量的損失。勒索病毒通常利用非對稱加密算法和對稱加密算法組合的形式來加密文件，絕大多數勒索軟體均無法通過技術手段解密，必須拿到對應的解密私鑰才有可能無損還原被加密文件。黑客正是通過這樣的行為向受害用戶勒索高昂的贖金，這些贖金必須通過數字貨幣支付，一般無法溯源，因此危害巨大。為幫助更多的朋友在中了勒索病毒後，能夠正確處置並及時採取必要的自救措施，阻止損失擴大。同時為了建立更有效的防護措施避免勒索病毒的攻擊。本文介紹一些相關的應急處置辦法和防護方案，希望能對廣大朋友有所幫助。

1.2019上半年勒索病毒攻擊態勢

2019 年上半年共監控到受勒索病毒攻擊的計算機 225.6 萬臺，處理反勒索申訴案件超過 1500 例。從攻擊情況和威脅程度上看，勒索病毒攻擊依然是當前國內計算機面臨的最大安全威脅之一。在企業安全層面，勒索病毒威脅也已深入人心，成為企業最為擔憂的安全問題。

觀察勒索病毒影響的行業，以傳統行業與教育行業受害最為嚴重，網際網路，醫療，企事業單位緊隨其後。2019上半年，勒索病毒的感染量一直穩定，累計被攻擊的計算機超過250萬臺，時間分布上以2019年1月份最為活躍，2月到6月整體較為平穩，近期略有上升趨勢。

2.勒索病毒產業鏈

隨著勒索產業的迅速發展壯大，通過圍繞數據加密，數據洩露，乃至詐騙等核心元素展開的網絡勒索類型也是千姿百態。網絡勒索具有匿名性、隱蔽性、便捷性等特點，深受黑產青睞。其中典型的勒索病毒作案實施過程如下，一次完整的勒索可能涉及5個角色（一人可能充當多個角色）。 

勒索病毒作者：負責勒索病毒編寫製作，與安全軟體免殺對抗。

通過在「暗網」或其它地下平臺販賣病毒代碼，接受病毒定製，或出售病毒生成器的方式，與勒索者進行合作拿取分成。

勒索者：從病毒作者手中拿到定製版本勒索病毒或勒索病毒原程序，通過自定義病毒勒索信息後得到自己的專屬病毒，與勒索病毒作者進行收入分成。

傳播渠道商：幫助勒索者傳播勒索病毒，最為熟悉的則是殭屍網絡，例Necurs、Gamut，全球有97%的釣魚郵件由該兩個殭屍網絡發送。

解密代理：向受害者假稱自己能夠解密各勒索病毒加密的文件，並且是勒索者提出贖金的50%甚至更低，但實際上與勒索者進行合作，在其間賺取差價。從世界範圍內看，勒索病毒產業鏈養活了大量從事解密代理的組織，這些人直接購買搜索關鍵字廣告，讓勒索病毒受害企業通過他們完成解密交易，解密代理充當了中間人的角色，從中獲取大量利益。

受害者：通過勒索病毒各種傳播渠道不幸中招的受害者，如有重要文件被加密，則向代理或勒索者聯繫繳納贖金解密文件。 

3.病毒勒索五大形式

這種方式是當前受害群體最多、社會影響最廣，勒索犯罪中最為活躍的表現形式，該方式通過加密用戶系統內的重要資料文檔，數據，再結合虛擬貨幣實施完整的犯罪流程。以GandCrab為代表的勒索集團當屬該類勒索產業中的佼佼者，該黑產團夥在運營短短一年多的時間內，非法斂財20億美元，該病毒也一度影響了包括我國在內的多個國家基礎設施的正常運轉，在我國境內製造了大量GandCrab病毒感染事件。該形式勒索與數據加密勒索有著極大的相似性，在部分真實攻擊場景中該方式也會結合數據加密勒索方式共同實施。這種方式的攻擊重點不是針對磁碟文件，而是通過修改系統引導區，篡改系統開機密碼等手段將用戶系統鎖定，導致用戶無法正常登錄到系統。通過該模式實施的勒索在電腦和安卓手機系統也較為常見。國內PC多見以易語言為代表編寫的一系列鎖機病毒，將病毒捆綁在破解工具、激活工具、遊戲外掛中，欺騙用戶通過論壇，網盤，下載站等渠道傳播。該類型勒索通常情況針對企業實施，黑客通過入侵拿到企業內相關機密數據，隨後敲詐企業支付一定金額的贖金，黑客收到贖金後稱會銷毀數據，否則將進入撕票流程，在指定時間將企業機密數據公開發布，以此要挾企業支付酬金。大規模的數據洩露對大企業而言不僅會造成嚴重的經濟損失，也會為極大的負面影響。此類型勒索與企業數據洩露造成的勒索有著相似點，針對個人用戶隱私發起攻擊。不同點為攻擊者手中根本沒有隱私數據，他們通過偽造、拼接與隱私有關的圖片、視頻、文檔等等恐嚇目標實施詐騙勒索。此類勒索者會大量群發詐騙郵件，當命中收件人隱私信息後，利用收件人的恐慌心理實施欺詐勒索。勒索過程中，受害者由於擔心自己隱私信息遭受進一步的洩漏，容易陷入圈套，從而受騙繳納贖金。在部分涉及各行業重要數據，各國家機密數據的染毒場景中，有時也會發現一些不同於感染傳統勒索病毒的案例。區別在於，觀察此類染毒環境中可發現，病毒對部分文件會進行多次加密，甚至對文件進行了無法修復的破壞，且病毒不做白名單過濾，極易將系統直接搞崩潰。分析此類染毒場景可知病毒真實意圖似乎更偏向於破壞，而不在於圖財。部分黑客組織在實施APT攻擊、竊取企業數據之後，為消除痕跡，會進一步投遞破壞性的勒索病毒，將用戶資料加密，部分APT攻擊者的終極目的就是為了對目標基礎設施打擊以造成無法修復的損壞。勒索病毒的加密機制，讓這些攻擊行動變得較為常見，從而有利於黑客組織掩蓋真實攻擊意圖。

4.常見的勒索病毒

GandCrab

GandCrab勒索病毒首次出現於2018年1月，是國內首個使用達世幣（DASH）作為贖金的勒索病毒，也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時間裡經歷了5個大版本的迭代，該病毒作者也一直和安全廠商、執法部門鬥智鬥勇。該病毒在國內擅長使用弱口令爆破，掛馬，垃圾郵件等各種方式傳播。2018年10月16日，一位敘利亞用戶在推特表示，GandCrab病毒加密了他的電腦文件，因無力支付勒索贖金，他再也無法看到因為戰爭喪生的小兒子的照片。隨後GandCrab放出了敘利亞地區的部分密鑰，並在之後的病毒版本中將敘利亞地區列入白名單不再感染，這也是國內有廠商將其命名為「俠盜勒索」的原因。2019年6月1日，GandCrab運營團隊在某俄語論壇公開聲明「從出道到現在的16個月內共賺到20多億美金，平均每人每年入帳1.5億，並成功將這些錢洗白。同時宣布關閉勒索服務，停止運營團隊，後續也不會放出用於解密的密鑰，往後餘生，要揮金如土，風流快活去」。2019年6月17日，Bitdefender聯合羅馬尼亞與歐洲多地區警方一起通過線上線下聯合打擊的方式，實現了對GandCrab最新病毒版本v5.2的解密。該事件也標誌著GandCrab勒索團夥故事的終結。

GlobeImposter

2017年5月，勒索病毒Globelmposter首次在國內出現。2018年2月全國各大醫院受Globelmposter勒索病毒攻擊，導致醫院系統被加密，嚴重影響了醫院的正常業務。Globelmposter攻擊手法都極其豐富,通過垃圾郵件、社交工程、滲透掃描、RDP爆破、惡意程序捆綁等方式進行傳播,其加密的後綴名也不斷變化。由於Globelmposter採用RSA+AES算法加密,目前該勒索樣本加密的文件暫無解密工具。

Crysis

Crysis勒索病毒從2016年開始具有勒索活動 ，加密文件完成後通常會添加「ID+郵箱+指定後綴」格式的擴展後綴，例：「id-編號.[gracey1c6rwhite@aol.com].bip」，其家族衍生Phobos系列變種在今年2月開始也有所活躍。該病毒通常使用弱口令爆破的方式入侵企業伺服器，安全意識薄弱的企業由於多臺機器使用同一弱密碼，面對該病毒極容易引起企業內伺服器的大面積感染，進而造成業務系統癱瘓。

Sodinokibi

Sodinokibi勒索病毒首次出現於2019年4月底，由於之後GandCrab停止運營事件，該病毒緊跟其後將GandCrab勒索家族的多個傳播渠道納入自身手中。該病毒目前在國內主要通過web相關漏洞和海量的釣魚郵件傳播，也被國內廠商稱為GandCrab的「接班人」，從該病毒傳播感染勢頭來看，毫無疑問是勒索黑產中的一顆上升的新星。

WananCry

WannaCry於2017年5月12日在全球範圍大爆發，引爆了網際網路行業的「生化危機」。藉助「永恆之藍」高危漏洞傳播的WannaCry在短時間內影響近150個國家，致使多個國家政府、教育、醫院、能源、通信、交通、製造等諸多關鍵信息基礎設施遭受前所未有的破壞，勒索病毒也由此事件受到空前的關注，由於當前網絡中仍有部分機器未修復漏洞，所以該病毒仍然有較強活力（大部分加密功能失效）。

Stop

Stop勒索病毒家族在國內主要通過軟體捆綁、垃圾郵件等方式進行傳播，加密時通常需要下載其它病毒輔助工作模塊。Stop勒索病毒會留下名為_readme.txt的勒索說明文檔，勒索980美元，並聲稱72小時內聯繫病毒作者將獲得50%費用減免，同時，該病毒除加密文件外，還具備以下行為特點。

加密時，禁用任務管理器、禁用Windows Defender、關閉Windows Defender的實時監控功能;

通過修改hosts文件阻止系統訪問全球範圍內大量安全廠商的網站；

因病毒執行加密時，會造成系統明顯卡頓，為掩人耳目，病毒會彈出偽造的Windows 自動更新窗口；

釋放一個被人為修改後不顯示界面的TeamViewer模塊，用來實現對目標電腦的遠程控制；

下載AZORult竊密木馬，以竊取用戶瀏覽器、郵箱、多個聊天工具的用戶名密碼。

Paradise

Paradise勒索病毒最早出現於2018年7月，該病毒勒索彈窗樣式與Crysis極為相似，勒索病毒加密文件完成後將修改文件名為以下格式：[原文件名]_[隨機字符串]_{郵箱}.隨機後綴，並留下名為Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索說明文檔。

Clop

Clop勒索病毒使用RSA+RC4的方式對文件進行加密，與其他勒索病毒不同的是，Clop勒索病毒部分情況下攜帶了有效的數字籤名，數字籤名濫用，冒用以往情況下多數發生在流氓軟體，竊密類木馬程序中。勒索病毒攜帶有效籤名的情況極為少見，這意味著該病毒在部分攔截場景下更容易獲取到安全軟體的信任，進而感染成功，對企業造成無法逆轉的損失。

SCarab

Scarab索病毒主要利用Necurs殭屍網絡進行傳播，在國內也有發現通過RDP過口令爆破後投毒。該家族變種較多，部分變種感染後外觀展現形態差異較大，例如今年3月份我國部分企業感染的ImmortalLock（不死鎖）病毒則為Scarab家族在國內活躍的一個變種。

Maze

Maze（迷宮）勒索病毒也叫ChaCha勒索病毒，擅長使用Fallout EK漏洞利用工具通過網頁掛馬等方式傳播。被掛馬的網頁，多見於黃賭毒相關頁面，通常會逐步擴大到盜版軟體、遊戲外掛（或破解）、盜版影視作品下載，以及某些軟體內嵌的廣告頁面，該病毒的特點之一是自稱根據染毒機器的價值來確認勒索所需的具體金額。

5.勒索病毒攻擊手段

弱口令

計算機中涉及到口令爆破攻擊的暴露面，主要包括遠程桌面弱口令、SMB 弱口令、資料庫管理系統弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。因系統遭遇弱口令攻擊而導致數據被加密的情況，也是所有被攻擊情況的首位。

釣魚和垃圾郵件

比如 Sodinokibi 勒索病毒，就大量使用釣魚郵件進行傳播。攻擊者偽裝成 DHL向用戶發送繁體中文郵件，提示用戶的包裹出現無限期延誤，需要用戶查看郵件附件中的「文檔」後進行聯絡。但實際該壓縮包內是偽裝成文檔的勒索病毒。 

利用漏洞

目前，黑客用來傳播勒索病毒的系統漏洞、軟體漏洞，大部分都是已被公開且廠商已經修補了的安全問題，但並非所有用戶都會及時安裝補丁或者升級軟體，所以即使是被修復的漏洞（Nday 漏洞）仍深受黑客們的青睞。一旦有利用價值高的漏洞出現，都會很快被黑客加入到自己的攻擊工具中。

常見系統漏洞

Confluence RCE 漏洞 CVE-2019-3396

WebLogic 反序列化漏洞 cve-2019-2725 

Windows 內核提權漏洞 CVE-2018-8453 

JBoss 反序列化漏洞 CVE-2017-12149 

JBoss 默認配置漏洞 CVE-2010-0738 

JBoss 默認配置漏洞 CVE-2015-7501 

WebLogic 反序列化漏洞 CVE-2017-10271 

「永恆之藍」相關漏洞 CVE-2017-0146 

Struts 遠程代碼執行漏洞 S2-052（僅掃描）CVE-2017-9805 

WebLogic 任意文件上傳漏洞 CVE-2018-2894 

Spring Data Commons 遠程代碼執行漏洞 CVE-2018-1273 

網站掛馬

如今年 3 月份再次活躍的 Paradise勒索病毒，就是通過網站掛馬的方式進行傳播的。攻擊者使用了在暗網上公開售賣的Fallout Exploit Kit 漏洞利用工具進行攻擊，該漏洞利用工具之前還被用來傳播 GandCrab和一些其它惡意軟體。如果訪問者的機器存在漏洞，那麼在訪問這些被掛馬站點時，就極有可能感染木馬病毒。

在使用的漏洞方面，Windows 自身漏洞和 flash 漏洞是網頁掛馬中，最常被使用到的漏洞。比如 CVE-2018-4878 flash 漏洞和 CVE-2018-8174 Windows VBScript 引擎遠程代碼執行漏洞就被用來傳播 GandCrab。 

破解與激活工具

如國內流行的一些系統激活工具中，多次被發現攜帶有下載器，rootkit 木馬，遠控木馬等。STOP 勒索病毒便是其中一類，從去年年底開始活躍的 STOP 勒索病毒，通過捆綁在一些破解軟體和激活工具中，當用戶下載使用這些軟體時，病毒便被激活，感染用戶計算機，加密計算機中的文件。

通過U盤感染

經常使用U盤共享拷貝文件，容易造成病毒傳播和交叉感染。

6.勒索病毒入侵過程

病毒入侵的本質：雖病毒類型各異，但從病毒入侵的過程是存在共性的，這與洛克希德-馬丁公司提出的「網絡殺傷鏈」理論非常契合。即整個入侵過程，一般會經歷偵查跟蹤、武器構建、載荷投送、漏洞利用、安裝植入、命令與控制、目標達成七個階段。「殺傷鏈」這個概念源自軍事領域，它是一個描述攻擊環節的六階段模型，該理論也可以用來反制此類攻擊（即反殺傷鏈）。這就像傳統的盜竊流程。小偷要先踩點再溜入目標建築，一步步實行盜竊計劃最終卷贓逃逸。

7.勒索病毒中毒特徵

首先如何判斷伺服器中了勒索病毒呢？勒索病毒區別於其他病毒的明顯特徵：加密受害者主機的文檔和數據，然後對受害者實施勒索，從中非法謀取私利。勒索病毒的收益極高，所以大家才稱之為「勒索病毒」。勒索病毒的主要目的既然是為了勒索，那麼黑客在植入病毒完成加密後，必然會提示受害者您的文件已經被加密了無法再打開，需要支付贖金才能恢復文件。所以，勒索病毒有明顯區別於一般病毒的典型特徵。如果伺服器出現了以下特徵，即表明已經中了勒索病毒。

8.勒索病毒自救措施

當我們已經確認感染勒索病毒後，應當及時採取必要的自救措施。之所以要進行自救，主要是因為：等待專業人員的救助往往需要一定的時間，採取必要的自救措施，可以減少等待過程中，損失的進一步擴大。例如：與被感染主機相連的其他伺服器也存在漏洞或是有缺陷，將有可能也被感染。所以，採取自救措施的目的是為了及時止損，將損失降到最低。

正確處置方法

(一)    隔離中招主機

當確認伺服器已經被感染勒索病毒後，應立即隔離被感染主機，隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網或斷電；訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制。

物理隔離

物理隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

訪問控制

訪問控制常用的操作方法是加策略和修改登錄密碼。

加策略主要操作步驟為：在網絡側使用安全設備進行進一步隔離，如防火牆或終端安全監測系統；避免將遠程桌面服務（RDP，默認埠為3389）暴露在公網上（如為了遠程運維方便確有必要開啟，則可通過VPN登錄後才能訪問），並關閉445、139、135等不必要的埠。

修改登錄密碼的主要操作為：立刻修改被感染伺服器的登錄密碼；其次，修改同一區域網下的其他伺服器密碼；第三，修改最高級系統管理員帳號的登錄密碼。修改的密碼應為高強度的複雜密碼，一般要求：採用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

隔離的目的，一方面是為了防止感染主機自動通過連接的網絡繼續感染其他伺服器；另一方面是為了防止黑客通過感染主機繼續操控其他伺服器。

有一類勒索病毒會通過系統漏洞或弱密碼向其他主機進行傳播，如WannaCry勒索病毒，一旦有一臺主機感染，會迅速感染與其在同一網絡的其他電腦，且每臺電腦的感染時間約為1-2分鐘左右。所以，如果不及時進行隔離，可能會導致整個區域網主機的癱瘓。

另外，近期也發現有黑客會以暴露在公網上的主機為跳板，再順藤摸瓜找到核心業務伺服器進行勒索病毒攻擊，造成更大規模的破壞。

當確認伺服器已經被感染勒索病毒後，應立即隔離被感染主機，防止病毒繼續感染其他伺服器，造成無法估計的損失。

(二)    排查業務系統

在已經隔離被感染主機後，應對區域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，並檢查備份系統是否被加密等，以確定感染的範圍。

業務系統的受影響程度直接關係著事件的風險等級。評估風險，及時採取對應的處置措施，避免更大的危害。

另外，備份系統如果是安全的，就可以避免支付贖金，順利的恢復文件。

所以，當確認伺服器已經被感染勒索病毒後，並確認已經隔離被感染主機的情況下，應立即對核心業務系統和備份系統進行排查。

(三)    聯繫專業人員

在應急自救處置後，建議第一時間聯繫專業的技術人士或安全從業者，對事件的感染時間、傳播方式，感染家族等問題進行排查。

錯誤的處置方法

(一)    使用移動存儲設備

當確認伺服器已經被感染勒索病毒後，在中毒電腦上使用U盤、移動硬碟等移動存儲設備。當電腦感染病毒時，病毒也可能通過U盤等移動存儲介質進行傳播。所以，當確認伺服器已經被感染勒索病毒後，切勿在中毒電腦上使用U盤、移動硬碟等設備。

(二)    讀寫中毒主機上的磁碟文件

當確認伺服器已經被感染勒索病毒後，輕信網上的各種解密方法或工具，自行操作。反覆讀取磁碟上的文件後反而降低數據正確恢復的概率。

訪問「拒絕勒索軟體」網站，該網站是一項由荷蘭國家警察高科技犯罪單位、歐洲刑警組織下屬歐洲網絡犯罪中心, 卡巴斯基實驗室和英特爾公司（英特爾安全）網絡保安全公司所推動的計劃，旨在幫助勒索軟體的受害者重新取回其加密數據，而無需支付贖金。但是這個網站提供的解密密鑰僅僅限於已經被破解或被各國執法機構查獲的勒索病毒密鑰。因此只能做為一個參考，最重要的工作還是做好日常的防護工作。

9.加強管理制度建設預防勒索病毒

定期進行安全培訓，做到「三不三要」

杜絕弱口令系，加強口令管理

對網絡信息資產進行全面核查

培養專業的網絡安全管理人才

對重要的網絡服務進行遠程訪問限制

重要的關鍵業務系統必須做好備份方案

10.勒索病毒立體防護解決方案

使用單一的安全產品或是單一的技術手段（如防火牆、IPS、殺毒軟體）在面對勒索病毒的入侵時，往往面臨「時效、單點、溯源」三大核心問題。一旦某一點被突破，特別是新型的病毒，則會直接碰觸到業務系統及數據。為此勒索病毒防護必須依賴於全面的防護思路，通過多層、多維的防護措施，構建完整立體的病毒防護體系。

第一道防線

利用防火牆、上網行為管理等攔截偵查跟蹤、武器構建、載荷投送三個階段的攻擊；

第二道防線

利用WAF防火牆、反垃圾郵件系統、漏洞掃描、終端安全系統、堡壘機以及流量分析系統來攔截漏洞利用、安裝植入、命令與控制三個階段的攻擊；

第三道防線

最後使用數據備份系統建立最後的保障，以確保萬一被黑客目標達成攻擊後，可以使用備份的數據用以恢復業務系統的運行。

註：備份是防止勒索病毒最後的保障，也是最重要的手段。做備份以注意以下幾點：

A、備份文件不要保存在本機上（否則病毒會將你的備份文件同時加密）。安全備份的原則是321原則，即保存三份數據副本，存儲在兩種不同的介質上，其中一份在異地。

B、不要採用同步複製的方式（不然被加密的文件也會同步複製過覆蓋原備份文件）。同步複製的方式固然可以將損失減少到最小，但一般只針對硬體故障，對於病毒、人為因素等邏輯錯誤無法恢復。

精選IT好方案