一、背景
自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对企事业单位等各类组织直接威胁最大的一类木马病毒。勒索病毒通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。
二、勒索病毒中毒特征
勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。
1. 业务系统无法访问
勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营。
2. 电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,如下图:
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改,并且使得文件无法正常打开。
三、自救措施
✦ 正确处置方法
(一)隔离中招主机
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段。
①物理隔离
物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
②访问控制
a.避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上,并关闭445、139、135等不必要的端口。
b.将服务器密码修改为高强度的复杂密码。
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪,造成无法估量的损失。
(二)排查业务系统
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
✦ 错误的处置方法
(一)使用移动存储设备
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中毒主机上的磁盘文件
当确认服务器已经被感染勒索病毒后,反复读取磁盘上的文件可能会而降低数据正确恢复的概率。
四、勒索病毒排查
1. 文件排查
(1)开机启动有无异常文件
【开始】➜【运行】➜【msconfig】
(2)各个盘下的 temp(tmp)相关目录下查看有无异常文件
(3)Recent 是系统文件夹,里面存放着最近使用的文档的快捷方式,查看用户 recent 相关文件,通过分析最近打开分析可疑文件:
【开始】➜【运行】➜【%UserProfile%Recent】
(4)查看文件时间,创建时间、修改时间、访问时间,黑客通过菜刀类工具改变的是修改时间。所以如果修改时间在创建时间之前明显是可疑文件。
2. 进程排查
(1)netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED,例如
(2)根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位,例如
(3)根据 wmic process 获取进程的全路径 [任务管理器也可以定位到进程路径]
3. 系统信息排查
(1)查看环境变量的设置
排查内容:temp 变量的所在位置的内容;后缀映射 PATHEXT 是否包含有非windows 的后缀;有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查)。
(2)Windows 计划任务
排查可疑的windows计划任务。
(3)Windows 帐号信息,如隐藏帐号等
【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用户】排查可疑的用户信息 (用户名以$结尾的为隐藏用户,如:admin$)
(4)查看当前系统用户的会话
使用➜ query user 查看当前系统的会话,比如查看到有人使用远程终端登录服务器,可使用logoff 踢出该用户;
(5)查看 systeminfo 信息,系统版本以及补丁信息,及时打补丁
五、勒索病毒预防措施
勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施,以尽可能避免损失:
(1)安装杀毒和安全防护软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行;定期进行全盘杀毒。
(2)开启系统自动更新功能或使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
(3)密码一定要使用强口令,并且不同账号使用不同密码。
(4)重要文档数据应经常做备份。
(5)若长时间离开电脑随手关机。
(6)尽量不要启用文件共享功能和远程桌面功能。
(7)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。