此前我寫過一篇文章《企業中了勒索病毒該怎麼辦?可以解密嗎?》,裡面介紹了很多解密的網站,並教了大家如何快速識別企業中了哪個勒索病毒家族,以及此勒索病毒是否有解密工具,也包含一些簡單的勒索病毒應急處理方法,這篇我將重點講解一下,作為一名安全應急響應人員,該如何去處理勒索病毒,可以給客戶提供哪些勒索病毒防範措施和應急響應指導等。
關于勒索病毒,很多朋友在後臺留言常常會問我這兩個問題:
1.企業還沒有中勒索,但領導很害怕,該如何防範呢?有哪些建議和指導
2.企業已經中了勒索,該如何快速進行應急響應?有哪些建議和指導
企業應該如何做好安全防護,主要從以下幾個方面入手:
1.部署可靠高質量的防火牆、安裝防病毒終端安全軟體,檢測應用程式、攔截可疑流量,使防病毒軟體保持最新,設置為高強度安全防護級別,還可以使用軟體限制策略防止未經授權的應用程式運行
2.關注最新的漏洞,及時更新電腦上的終端安全軟體,修復最新的漏洞
3.關閉不必要的埠,目前發現的大部分勒索病毒通過開放的RDP埠進行傳播,如果業務上無需使用RDP,建議關閉RDP,以防止黑客通過RDP爆破攻擊
4.培養員工的安全意識,這點非常重要,如果企業員工不重視安全,遲早會出現安全問題,安全防護的重點永遠在於人,人也是最大的安全漏洞,企業需要不定期給員工進行安全教育的培訓,與員工一起開展安全意識培訓、檢查和討論:
1)設置高強度的密碼,而且要不定期進行密碼的更新,避免使用統一的密碼,統一的密碼會導致企業多臺電腦被感染的風險,此前我就遇到過一個企業內網的密碼都使用同一個的情況,導致企業內部多臺電腦被勒索加密
2)企業內部應用程式的管控與設置,所有的軟體都由IT部門統一從正規的網站進行下載,進行安全檢測之後,然後再分發給企業內部員工,禁止員工自己從非正規的網站下載安裝軟體
3)企業內部使用的office等軟體,要進行安全設置,禁止宏運行,避免一些惡意軟體通過宏病毒的方式感染主機
4)從來歷不明的網站下載的一些文檔,要經過安全檢測才能打開使用,切不可直接雙擊運行
5)謹慎打開來歷不明的郵件,防止被郵件釣魚攻擊和垃圾郵件攻擊,不要隨便點擊郵件中的不明附件或快捷方式,網站連結等,防止網頁掛馬,利用漏洞攻擊等
6)可以不定期進行安全攻防演練,模擬攻擊等,讓員工了解黑客有哪些攻擊手法
7)可以給員工進行勒索病毒感染實例講解,用真實的勒索病毒樣本,進行模擬感染攻擊,讓員工了解勒索病毒的危害
5.養成良好的備份習慣,對重要的數據和文檔進行定期非本地備份,可使用移動存儲設置保存關鍵數據,同時要定期測試保存的備份數據是否完整可用
勒索病毒的特徵一般都很明顯,會加密磁碟的文件,並在磁碟相應的目錄生成勒索提示信息文檔或彈出相應的勒索界面,如果你發現你的文檔和程序無法打開,磁碟中的文件被修改,桌面壁紙被替換,提示相應的勒索信息,要求支付一定的贖金才能解密,說明你的電腦中了勒索病毒。
企業中了勒索,該如何應急,主要從以下幾個方面入手:
1.隔離被感染的伺服器主機
拔掉中毒主機網線,斷開主機與網絡的連接,關閉主機的無線網絡WIFI、藍牙連接等,並拔掉主機上的所有外部存儲設備
2.確定被感染的範圍
查看主機中的所有文件夾、網絡共享文件目錄、外置硬碟、USB驅動器,以及主機上雲存儲中的文件等,是否已經全部加密了
3.確定是被哪個勒索病毒家族感染的,在主機上進行溯源分析,查看日誌信息等
主機被勒索病毒加密之後,會在主機上留上一些勒索提示信息,我們可以先去加密後的磁碟目錄找到勒索提示信息,有些勒索提示信息上就有這款勒索病毒的標識,顯示是哪一種勒索病毒,比方GandCrab的勒索提示信息,最開始都標明了是哪一個版本的GandCrab勒索病毒版本,可以先找勒索提示信息,再進行溯源分析
溯源分析一般通過查看主機上保留的日誌信息,以及主機上保留的樣本信息,通過日誌可以判斷此勒索病毒可能是通過哪種方式進來的,比方發現文件被加密前某個時間段有大量的RDP爆破日誌,並成功通過遠程登錄過主機,然後在主機的相應目錄發現了病毒樣本,可能猜測這款勒索病毒可能是通過RDP進來的,如果日誌被刪除了,就只能去主機上找相關的病毒樣本或可疑文件,通過這些可疑的文件來猜測可能是通過哪種方式進來的,比方有些是能過銀行類木馬下載傳播的,有些是通過遠控程序下載傳播的,有些是通過網頁掛馬方式傳播的,還可以去主機的瀏覽器歷史記錄中去找相關的信息等等
4.找到病毒樣本,提取主機日誌,進行溯源分析之後,關閉相應的埠、網絡共享、打上相應的漏洞補丁,修改主機密碼,安裝高強度防火牆,防病毒軟體等措施,防止被二次感染勒索
5.進行數據和業務的恢復,如果主機上的數據存在備份,則可以還原備份數據,恢復業務,如果主機上的數據沒有備份,可以在確定是哪種勒索病毒家族之後,查找相應的解密工具,解密工具網站可以看我上一篇文章中提到的,事實上現在大部分流行勒索病毒並沒有解密工具,如果數據比較重要,業務又急需恢復,可以考慮使用下面方式嘗試恢復數據和業務:
1)可以通過一些磁碟數據恢復手段,恢復被刪除的文件
2)可以跟一些第三方解密中介或直接通過郵件的方式聯繫黑客進行協商解密(但不推薦),可能就是因為現在交錢解密的企業越來越多,導致勒索病毒家族變種越來越多,攻擊越來越頻繁,還有很多企業中了勒索病毒暗地裡就交錢解密了
現在很多勒索病毒都使用郵件或解密網站,要求受害者通過這些網站進行解密操作,而且都是使用BTC進行交易,而且功能非常完善,下面我們就來分析一下最近很流行的Sodinokibi勒索病毒的解密網站,如下所示:
網站的主機提示你被加密了,需要支持0.24790254的BTC(=2500美元),如果超過了時間限制,則可能需要支付0.49580508的BTC(=5000美元)
黑客還擔心受害者不知道BTC是啥,事實上國內有些企業中了勒索,想交贖金,但不知道BTC從哪裡來,於時黑客就給出了詳細的步驟教受害者如何進行解密,以及如果購買BTC操作等,如下所示:
黑客還建議了受害者通過https://www.blockchain.com/explorer這個網站註冊BTC錢包,然後購買相應的BTC,再將BTC轉入黑客的BTC錢包帳戶,同時黑客還提示了使用多種方式可以購買BTC的連結,如下所示:
還貼出來了相應的連結,指導受害者如何購買BTC的詳細教程等等,如下所示:
同時黑客還怕受害者不相信可以解密,可以幫受害者免費解密幾個文件,但不包含大的數據文件,只能是10MB以下的,如下所示:
BTC註冊網站:
https://www.blockchain.com
BTC購買連結:
https://www.coinmama.com/
https://www.korbit.co.kr/
https://www.coinfloor.co.uk/
https://coinfinity.co/
https://www.bitpanda.com/en
https://btcdirect.eu/
https://www.paymium.com/
https://bity.com/
https://www.coincorner.com/
https://www.happycoins.com
https://www.bitfinex.com/
https://poloniex.com/
https://cex.io/
https://www.huobi.com/
https://bittylicious.com/
https://coincafe.com/
https://www.coinhouse.com
https://safello.com/
https://localbitcoins.com/
https://www.virwox.com/
https://www.bitquick.co/
https://wallofcoins.com
https://libertyx.com
https://bitit.io/
https://coinatmradar.com/
BTC如何購買:
https://howtobuybitcoins.info/
https://bittybot.co/eu/
https://www.buybitcoinworldwide.com/
http://bitcoin-net.com/
黑客還開通了聊天窗口,可以跟黑客進行溝通協商,討價還價等等,如下所示:
從上面可以看出黑客為了讓受害者能交付贖金,做了一個專門的網站進行指導,可以看出這款勒索病毒背後一定是有一支強大的運營團隊
最後友善提醒:
不建議企業向黑客支付BTC,也不建議企業找第三方中介解密,因為這樣會促長這個行業的不斷增加,現在大部分勒索病毒無法解密,請各企業做好相應的防範措施,按上面的一些指導方法和建議進行勒索病毒的防禦,勒索病毒的重點在於防禦!
*本文作者:熊貓正正,轉載須註明來自FreeBuf.COM