本文转载自微信公众号《新钛云服务》,作者王爱华。转载本文请联系新钛云服务公众号。Liam最近看到针对传统行业的勒索软件攻击越来越多,甚至同一行业的多家公司会在一天内同时受到攻击,导致业务运营中断、个人和公司重要数据被破坏等严重的安全问题问题。这一情况一方面表明,勒索软件攻击已经开始有组织化、产业化。另一方面也说明,传统行业在信息安全方面的保障能力薄弱。更多的漏洞更容易成为勒索软件攻击的目标。勒索病毒危害分析机器感染勒索病毒后,用户很快会发现word、excel、pdf等很多常用文件无法正常打开,异常现象明显,便于查找和举报IT或安全部门。如果处理及时,一般不会造成企业大量机器感染。但另一方面,由于该勒索病毒采用非对称加密方式对机器上的所有数据文件进行加密,如果没有相应的解密密钥,基本上无法解密和恢复被加密的文件。因此,对于感染勒索病毒的个人电脑和服务器,如果之前没有及时进行数据备份,可能会因为关键数据的丢失而造成无法挽回的损失。如何正确处理勒索病毒感染事件根据我们以往处理勒索病毒事件的经验,企业发现一台或多台机器感染勒索病毒后,IT人员和安全人员可以按照以下流程正确处理(如果企业没有未设置信息安全位置,建议立即联系第三方专业安全服务公司协助)。1确认勒索病毒感染迹象勒索病毒感染后,桌面或文件夹中通常会出现一个类似how_to_decrypt.hta的网页文件,可以通过浏览器打开,以英文为主,显示勒索提示信息和解密联系方式,ETC。;同时,很多文件除了乱七八糟的后缀还有勒索软件攻击者的邮箱地址信息外,文件无法正常打开(类似下图)。2.隔离被感染的机器,避免勒索病毒的进一步传播。对于有上述勒索病毒感染迹象的机器,应立即实施网络或物理隔离,防止勒索病毒继续通过公司有线和无线网络传播。隔离方法包括:对于被感染的无线机,禁用无线网卡;对于被感染的有线用户,禁用有线网卡,同时拔掉机器的物理网线;如果同一网段有多台机器被感染,可以通过交换机断开网络,或者修改无线网络密码;关键位置被感染的计算机和重要服务器应立即关闭,以免所有文件被勒索病毒进一步加密;专人将整理出感染机名单,进行后续处置。3对未感染勒索病毒的机器进行加固,防止可能的感染路由账号,从而进行全网感染。对于没有明确发现感染勒索病毒的机器,可以根据勒索病毒的传播方式和途径,采取一些基本的安全措施,快速保护它们,避免被感染。这些安全措施包括:将个人计算机、应用服务器和域控制服务器的登录密码更改为强密码;禁用来宾帐户;统一关闭139和445端口,关闭RDP服务;安装?、火绒等杀毒软件进行防护查杀;更新操作系统安全补丁。4.分析感染机器并提取病毒特征。如果能快速定位到勒索病毒文件的特征(如进程名称、执行路径、文件大小、md5值、自启动位置、进程保护文件等),就可以立即展开全网排查和找出网络中其他被感染的机器并进行隔离,从而减少整个勒索病毒事件的处理时间,减少勒索病毒对企业造成的损害和损失。根据我们对付勒索病毒的经验,可以优先考虑以下几个方面,包括:与被感染机器人员进行深入沟通,比如什么时候发现异常,之前进行了哪些操作,可以帮助快速定位可能的源头病毒感染;通过任务管理器,查看CPU、内存、IO占用率高的可疑进程(尤其是文件较多的机器,勒索加密需要占用大量机器资源);安装病毒查杀工具,快速查找病毒文件,如火绒、360、clamav、BitDefender等;安装其他系统安全工具,包括微软提供的SysinternalsSuite安全工具(autoruns64.exe、procexp64.exe、procmon.exe、tcpview.exe等)、PCHunter、TinderSword等进行分析。通过以上操作,安全人员应该可以查出勒索病毒文件和执行过程,并可以通过在线病毒查杀引擎,如:www.virustotal.com、www.virscan,进一步快速确认病毒文件。组织和其他网站。确认为勒索病毒的可执行文件可通过s.threatbook.cn、app.any.run等在线沙箱快速进一步分析,确认病毒行为特征。例如通过微步云沙箱伪装成svchost.com文件的勒索病毒分析结果:确认勒索病毒的行为特征后,可以停止勒索病毒进程,新建文件观察,启动勒索病毒进程,查看文件是否加密,进一步确认勒索病毒。5根据病毒特点,全网筛选被感染机器。通过提取勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征,可以使用域控、单机或专业桌面管理工具等进行操作,快速进行网络-广泛的调查。对于出现勒索病毒感染症状的机器,断开网络并隔离、删除勒索文件和进程,并持续监控感染是否继续。此外,还可以根据勒索病毒的网络行为特征,进一步分析交换机的镜像流量,发现网络中是否存在被感染的机器。6受感染的机器处理感染勒索软件的机器可以通过停止勒索软件进程并删除受保护的进程或文件来防止勒索软件运行。同时通过U盘备份未加密的文件。文件备份完成后统一重装操作系统,按照安全基线加固测试后部署应用并恢复数据。7勒索感染溯源勒索感染一般包括:外网服务器漏洞(如应用层漏洞、RCE高危补丁未更新、弱账号密码等)、钓鱼邮件附件、长期隐藏的APT攻击、等勒索病毒的溯源通过对最初感染机器人员的操作行为和操作系统日志的分析,以及对网络设备和安全设备的分析,可以进一步追溯原始漏洞和入侵方式登录企业。8.修复感染源漏洞。如果能够追溯源头,就可以有针对性地进行安全加固。如果无法追溯原始安全漏洞,还应根据勒索病毒的传播方式进行安全加固,包括安全意识宣讲、外网安全漏洞扫描渗透、安装杀毒软件、更新安全补丁等。9安全事件概要根据勒索病毒溯源结果,IT或安全负责人说明勒索病毒的感染源,说明被感染机器、数据丢失、恢复情况、恢复时间和费用等。10制定后续安全加固计划。企业感染勒索软件的根本原因一定是安全技术或安全管理存在一定漏洞。例如,没有安装杀毒软件对勒索病毒文件进行查杀,非IT人员缺乏基本的信息安全保障。意识,随意保存和打开勒索软件可执行文件等。这些当前和潜在的安全漏洞和安全风险需要及时处理,最终建立多层次、多阶段统一纵深的安全防御体系。新钛云服务基于最佳安全实践,结合企业安全现状,在远程办公、网络安全边界、终端接入、桌面管理、防病毒、防数据泄露、日常安保服务等。同时,还可以在安全规程、安全意识培训等方面提供协助。后记勒索软件愈演愈烈的原因主要是利益驱动,针对企业最有价值的数据,危及数据可用性。后续攻击者在偷偷窃取企业敏感数据后,更有可能利用APT攻击进一步加密数据进行勒索,从而使攻击者的价值最大化。对于传统的业务领导者和IT管理者来说,他们应该能够识别企业信息化转型后的IT威胁和风险影响,从而在企业信息安全建设和数据方面给IT部门和安全部门所需要的。安全。这些安全资源,包括选择专业的第三方安全服务商,可以从安全管理和安全技术等多方面进行防范,减少和避免各类信息安全事件的发生。
