本文将重点讲解作为安全应急人员,如何应对勒索病毒,以及可以为客户提供哪些勒索病毒防范措施及应急处置指南。关于勒索病毒,经常有很多朋友在后台留言问我这两个问题:公司还没有被勒索,但是领导很害怕,怎么防范?对于被敲诈的公司,您有什么建议和指导,如何快速应对?对企业如何做好安全防护有哪些建议和指导,主要从以下几个方面:(1)部署可靠优质的防火墙,安装杀毒终端安全软件,检测应用,拦截可疑流量,并使杀毒软件保持最新,设置为高强度安全防护等级,可以使用软件限制策略防止未授权应用程序运行(2)关注最新漏洞,更新终端安全软件及时在电脑上,修复最新的漏洞(3)关闭不需要的端口。目前发现的大多数勒索软件病毒都是通过开放的RDP端口传播的。如果业务不需要RDP,建议关闭RDP,防止黑客通过RDP进行爆破攻击。(4)培养员工的安全意识,这一点非常重要。如果企业员工不注意安全,安全问题迟早会出现。安全防护的重点始终在人,人也是最大的安全漏洞。企业需不定期对员工进行安全教育培训,与员工一起培养安全意识。培训、检查、讨论:设置高强度密码,不定期更新密码,避免使用统一密码。统一密码会导致企业内多台电脑被感染的风险。网络密码全部使用同一种情况,导致公司多台电脑被勒索加密公司内部应用程序的控制和设置。所有软件均由IT部门从官网下载。发放给企业内部员工,禁止员工从非官方网站下载安装软件。企业内部使用的办公等软件必须进行安全设置,禁止宏操作,防止一些恶意软件通过宏病毒感染来历不明的主机。部分下载文件需安全检查后方可打开使用。不要直接双击运行,小心打开来历不明的邮件,防止邮件钓鱼攻击和垃圾邮件攻击。不要点击邮件、网站链接等不明附件或快捷方式,防止网页挂马、利用漏洞攻击等,可不定期进行安全攻防演练、模拟攻击等,让员工了解黑客有哪些攻击手段。可以给员工提供勒索病毒感染的例子,用真实的勒索病毒样本来模拟感染。让员工了解勒索病毒的危害(五)养成良好的备份习惯,定期对重要数据和文件进行异地备份,使用移动存储设置保存关键数据,定期测试保存的备份数据是否完整可用的特征勒索软件一般很明显,磁盘会被加密如果您发现您的文档和程序无法打开,磁盘上的文件被修改,桌面墙纸被更换,则会显示相应的勒索信息。需要一定的赎金才能解密,说明你的电脑感染了勒索软件企业被勒索,如何应急处理,主要从以下几个方面:(1)隔离被感染的服务器主机,拔掉中毒主机的网线,断开主机与网络的连接,关闭主机的无线网络WIFI、蓝牙连接等,并拔掉主机上所有外接存储设备(2)确定感染范围检查主机上所有文件夹、网络共享文件目录、外接硬盘、U盘、云存储上的文件主机等,是否全部加密(3)确定感染了哪个勒索病毒家族,对主机进行溯源分析,查看日志信息等,主机被勒索病毒加密后,主机上会留下一些勒索提示,我们可以先去加密的磁盘目录下找到勒索信息。部分勒索邮件带有该勒索病毒的标识,表明是何种勒索病毒。例如GandCrab的勒索信息最初是标明了GandCrab是哪个版本的勒索版本,可以先查找勒索提示信息,然后进行溯源分析。一般通过溯源分析,可以查看主机上保留的日志信息和主机上保留的样本信息。通过日志,可以判断出勒索软件可能是从哪条路进入的,比如发现文件加密前某段时间有大量RDP爆破日志,主机远程登录成功,然后在对应目录下发现病毒样本主人。可以猜测,这个勒索软件可能是通过RDP进来的。如果日志被删除,只能到主机上寻找相关的病毒样本或可疑文件,根据这些可疑文件猜测它可能是从哪条路进入的。比如有的可以通过银行木马下载传播,有的通过下载远程控制程序传播,有的通过网页挂马传播。也可以到主机的浏览历史中查找相关信息等。(4)查找病毒样本,提取主机日志,进行溯源分析后,关闭相应端口,共享网络,打相应漏洞补丁、更改主机密码、安装高强度防火墙、杀毒软件等措施,防止二次感染和勒索(5)恢复数据和业务,如果主机上有数据备份,则可以恢复备份数据并恢复业务。如果主机上的数据没有备份,确定是哪个勒索病毒家族后,可以找到对应的解密工具。解密工具网址可以在我之前的文章中找到。如前所述,事实上,大多数流行的勒索病毒都没有解密工具。如果数据比较重要,急需恢复业务,可以考虑通过以下方法尝试恢复数据和业务:可以使用一些磁盘数据恢复方法来恢复被删除的文件。文件可以和一些第三方解密中介协商或者直接通过邮件联系黑客(但不推荐),可能是越来越多的公司付费解密,导致勒索病毒家族变种越来越多,攻击越来越频繁,很多企业在中了勒索病毒的时候偷偷付费解密。现在很多勒索软件都是利用邮箱或者解密网站,要求受害者通过这些网站进行解密操作,而且都是使用BTC进行交易,功能非常齐全。我们来分析一下最近流行的Sodinokibi勒索病毒的解密网站,如下图:网站主机提示你已加密,需要支持0.24790254BTC(=$2500),如果超过时间限制,可能需要支付0.49580508BTC(=5000美元)。黑客还担心受害者不知道BTC是什么。事实上,国内一些公司已经被勒索,想要支付赎金,但不知道BTC从何而来。当时黑客给出了详细步骤教受害者如何解密,如何购买BTC操作等,如下:黑客还建议受害者通过网站https://www.blockchain.com注册/explorerBTCwallet,然后购买对应的BTC,然后将BTC转入黑客的BTC钱包账户。同时,黑客还通过多种方式提示了购买BTC的链接,如下图:还发布了相应的链接,指导受害者如何购买BTC等详细教程,如下:同时,黑客怕受害人不相信可以解密,所以可以免费为受害人解密几个文件,但不包括大数据文件,只能在10MB以下,如下图所示:BTC注册网站:https://www.blockchain.comBTC购买链接:https://www.coinmama.com/https://www.korbit.co.kr/https://www.coinfloor.co。英国/https://coinfinity.co/https://www.bitpanda.com/enhttps://btcdirect.eu/https://www.paymium.com/https://bity.com/https://www.coincorner.com/https://www.happycoins.comhttps://www.bitfinex.com/https://poloniex.com/https://cex.io/https://www.huobi。com/https://bittylicious.com/https://coincafe.com/https://www.coinhouse.comhttps://safello.com/https://localbitcoins.com/https://www.virwox.com/https://www.bitquick.co/https://wallofcoins.comhttps://libertyx.comhttps://bitit.io/https://coinatmradar.com/如何购买比特币:https://howtobuybitcoins.info/https://bittybot.co/eu/https://www.buybitcoinworldwide.com/http://bitcoin-net.com/黑客还打开了一个聊天窗口,可以在这里与黑客进行交流、谈判、讨价还价等,如下图:从上图可以看出,黑客为了让受害者支付赎金,专门做了一个引导网站。可见,这个勒索病毒背后一定有强大的运营团队。最后友情提醒:不建议企业向黑客支付BTC,不建议企业找第三方中介解密,因为这会促进这个行业的不断增加,现在大部分勒索软件是无法解密的,请采取相应的预防措施,并遵循上述一些指导方法和建议。勒索病毒的防御,勒索病毒的重中之重是防御!
