文档介绍：勒索病毒应急与响应手册浙江大学网络与信息安全领导小组办公室二〇一九年三月前言勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播,利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。勒索病毒文件一旦进入本地,就会自动运行。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥,利用加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人,其他人是几乎不可能解密。加密完成后,通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。勒索过程如下:本手册第1章详述如何判断是否已感染勒索病毒,是否已被加密;第2章详述当主机处于不同的中毒阶段时,应如何进行应急响应;第3章介绍对于已加密系统的五种处理方式,重要文件需要恢复应分别尝试备份还原、解密、数据恢复、支付解密,价值较低的文件可直接重装系统,并进行主机加固;第4章详述如何进行勒索病毒的基础防护措施及建议。通过应用本手册,在不同阶段及时做出响应,尽可能避免或降低损失。目录第一章判断当前状态 4一感染未加密 4二感染已加密 5第二章响应当前状态 7一隔离中毒主机 7二排查其他主机 7三主机加固 7第三章已加密系统的处理办法 9一备份还原 9二解密工具 9三数据恢复 9四支付解密 9五重装系统 10第四章基础防护措施及建议 11一增强安全意识 11二增加口令强度 11三修复系统漏洞 12四修复应用漏洞 12五端口管理 12第一章判断当前状态一感染未加密从攻击者渗透进入内部网络的某一台主机到执行加密行为往往有一段时间,如果在这段时间能够做出响应,完全可以避免勒索事件的发生。如果有以下情况,可能是处于感染未加密状态:1监测设备告警如果使用了监测系统进行流量分析、威胁监测,系统产生大量告警日志,例如“SMB远程溢出攻击”、“弱口令爆破”等,可能是病毒在尝试扩散。2资源占用异常病毒会伪装成系统程序,释放攻击包、扫描局域网络445端口等占用大量系统资源,当发现某个疑似系统进程的进程在长期占用CPU或内存,有可能是感染病毒。二感染已加密勒索病毒的目的是索要赎金,所以会加密文件并在明显位置留下勒索信,通过这两点可以判断系统是否已经被加密。1统一的异常后缀勒索病毒执行加密程序后会加密特定类型的文件,不同的勒索病毒会加密几十到几百种类型的文件,基本都会包括常见的文档、图片、数据库文件。当文件夹下文件变成如下统一异常不可用后缀时,就是已经被加密了。2勒索信或桌面被篡改勒索病毒加密文件的最终目的是索要赎金,所以会在系统明显位置如桌面上留下文件提示,或将勒索图片更改为桌面。勒索信绝大多数为英文,引导被勒索的用户交赎金。第二章响应当前状态某台主机在感染勒索病毒后,除了自身会被加密,勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机,所以当发现一台主机已被感染,应尽快采取响应措施,以下基础措施即使不是专业的人员也可以进行操作,以尽可能减少损失。一隔离中毒主机1物理隔离断网,拔掉网线或禁用网卡,笔记本也要禁用无线网络。2逻辑隔离访问控制、关闭端口、修改密码。访问控制可以由防火墙等设备来设置,禁止已感染主机与其他主机相互访问;视情况关闭135、139、445、3389等端口,避免漏洞或RDP(远程桌面服务)被利用;尽快修改被感染主机与同一局域网内的其他主机的密码,尤其是管理员(Windows下的Administrator,Linux下的root)密码,密码长度不少于8个字符,至少包含以下四类字符中的三类:大小写字母、数字、特殊符号,不能是人名、计算机名、用户名等。二排查其他主机隔离已感染主机后,应尽快排查业务系统与备份系统是否受到影响,确定病毒影响范围,准备事后恢复。如果存在备份系统且备份系统是安全的,就可以将损失降到最低,也可以最快的恢复业务。三主机加固主机感染病毒一般都是由未修复的系统漏洞、未修复的应用漏洞或者弱口令导致,所以在已知局域网内已有主机感染并将之隔离后,应检测其他主机是否有上述的问题存在。(1)系统漏洞可以使用免费的安全软件检测并打补丁。(2)应用漏洞可以使用免费的漏扫产品(AWVS、APPScan等)检测并升级或采用其他方式修复。(3)弱口令应立即修改,密码长度不少于8个字符,至少包含以下四类字符中的三类:大小写字母、数字、特殊符号,不能是人名、计算机名、用户名等。第三章已加密系统的处理办法一备份还原备份可以是本机、异机或异地(云端)备份,通常勒索病毒会遍历所有磁盘并加密文件,同时删除Wind