勒索事件越来越多最近,针对传统行业的勒索病毒攻击事件越来越多,甚至同一行业的多家企业在一天内同时被攻击,造成业务运营被中断。严重的安全问题,例如破坏个人和公司重要数据。这一情况一方面表明,勒索软件攻击已经开始有组织化、产业化。另一方面也说明,传统行业在信息安全方面的保障能力薄弱。更多的漏洞更容易成为勒索软件攻击的目标。勒索病毒危害分析机器感染勒索病毒后,用户很快会发现word、excel、pdf等很多常用文件无法正常打开,异常现象明显,便于查找和举报IT或安全部门。如果处理及时,一般不会造成企业大量机器感染。但另一方面,由于该勒索病毒采用非对称加密方式对机器上的所有数据文件进行加密,如果没有相应的解密密钥,基本上无法解密和恢复被加密的文件。因此,对于感染勒索病毒的个人电脑和服务器,如果之前没有及时进行数据备份,可能会因为关键数据的丢失而造成无法挽回的损失。如何正确处理勒索病毒感染事件根据我们以往处理勒索病毒事件的经验,企业发现一台或多台机器感染勒索病毒后,IT人员和安全人员可以按照以下流程正确处理(如果企业没有未设置信息安全位置,建议立即联系第三方专业安全服务公司协助)。3.1确认勒索病毒感染迹象勒索病毒感染后,通常会在桌面或文件夹中出现类似how_to_decrypt.hta的网页文件,可通过浏览器打开,以英文为主,显示勒索提示信息和解密联系方式信息等;加上带有勒索软件攻击者邮箱信息的乱七八糟的后缀,文件无法正常打开;(类似下图)3.2隔离被感染机器,防止勒索病毒进一步传播立即实施网络或物理隔离,防止勒索病毒通过公司有线和无线网络继续传播。隔离方法包括:对于被感染的无线机,禁用无线网卡;对于被感染的有线用户,禁用有线网卡,同时拔掉机器的物理网线;如果同一网段有多台机器被感染,可以通过交换机断开网络,或者修改无线网络密码;感染关键部位的计算机和重要服务器应立即关闭,避免所有文件被勒索病毒进一步加密;专人整理感染机名单,进行后续处置;3.3对尚未感染勒索病毒的机器进行加固,防止可能的感染途径勒索病毒感染机器后,会通过文件共享、远程利用操作系统漏洞等方式进一步获取其他机器或AD服务器的账号,弱账户密码等,从而感染整个网络。对于没有明确发现感染勒索病毒的机器,可以根据勒索病毒的传播方式和途径,采取一些基本的安全措施,快速保护它们,避免被感染。这些安全措施包括:将个人计算机、应用服务器和域控制服务器的登录密码更改为强密码;禁用来宾帐户;统一关闭139和445端口,关闭RDP服务;安装360、Tinder等杀毒软件进行防护和查杀;更新操作系统的安全补丁;3.4分析被感染机器并提取病毒特征如果能快速定位到勒索病毒文件的特征(如进程名称、执行路径、文件大小、md5值、自启动位置、进程保护文件等),可以立即启动全网排查,找出网络中其他被感染的机器并进行隔离,从而减少整个勒索事件的处理时间,减少勒索病毒对企业造成的损害和损失。根据我们对付勒索病毒的经验,可以优先考虑以下几个方面,包括:与被感染机器人员进行深入沟通,比如什么时候发现异常,之前进行了哪些操作,可以帮助快速定位可能的源头病毒感染;通过任务管理器,查看CPU、内存、IO占用率高的可疑进程(尤其是文件较多的机器,勒索加密需要占用大量机器资源);安装病毒查杀工具,快速查找病毒文件,如火绒、360、clamav、BitDefender等;安装其他系统安全工具,包括微软提供的SysinternalsSuite安全工具(autoruns64.exe、procexp64.exe、procmon.exe、tcpview.exe等)、PCHunter、TinderSword等进行分析;通过以上操作,安全人员应该可以查出勒索病毒文件和执行过程,并可以通过在线病毒查杀引擎,如:www.virustotal.com、www.virscan,进一步快速确认病毒文件。组织和其他网站。确认为勒索病毒的可执行文件可通过s.threatbook.cn、app.any.run等在线沙箱快速进一步分析,确认病毒行为特征。例如通过微步云沙箱伪装成svchost.com文件的勒索病毒分析结果:确认勒索病毒的行为特征后,可以停止勒索病毒进程,新建文件观察,启动勒索病毒进程,查看文件是否加密,进一步确认勒索病毒。3.5根据病毒特点,全网筛选被感染机器。通过提取勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征,可以使用域控、单机或专业桌面管理工具等进行操作,快速进行网络-广泛的调查。对于出现勒索病毒感染症状的机器,断开网络并隔离、删除勒索文件和进程,并持续监控感染是否继续。此外,还可以根据勒索病毒的网络行为特征,进一步分析交换机的镜像流量,发现网络中是否存在被感染的机器。3.6被感染机器的处置对于感染勒索病毒的机器,可以通过停止勒索病毒进程,删除受保护的进程或文件来阻止勒索病毒的运行。同时通过U盘备份未加密的文件。文件备份完成后统一重装操作系统,按照安全基线加固测试后部署应用并恢复数据。3.7勒索病毒感染溯源勒索病毒感染一般包括:外网服务器漏洞(如应用层漏洞、RCE高危补丁未更新、弱账号密码等)、钓鱼邮件附件、长期隐藏的APT攻击等勒索病毒的溯源通过对最初感染机器人员的操作行为和操作系统日志的分析,以及对网络设备和安全的分析,可以进一步追溯原始漏洞和入侵方式设备登录企业。3.8修复感染源如果漏洞可以追溯到原始感染源,则可以有针对性地进行安全加固。如果无法追溯原始安全漏洞,还应根据勒索病毒的传播方式进行安全加固,包括安全意识宣讲、外网安全漏洞扫描渗透、安装杀毒软件、更新安全补丁等。3.9安全事件概要根据勒索病毒溯源结果,IT或安全负责人说明勒索病毒的感染源,说明被感染机器、数据丢失、恢复情况、恢复时间和费用等。3.10制定后续安全加固计划。企业感染勒索软件的根本原因一定是安全技术或安全管理存在一定漏洞。例如,没有安装杀毒软件对勒索病毒文件进行查杀,非IT人员缺乏基本的信息安全保障。意识,随意保存和打开勒索软件可执行文件等。这些当前和潜在的安全漏洞和安全风险需要及时处理,最终建立多层次、多阶段统一纵深的安全防御体系。新钛云服务基于优秀的安全实践,结合当前安全现状,在远程办公、网络安全边界、终端接入、桌面管理、防病毒、防数据泄露、日常安全服务等方面为企业提供适当的安全防护同时,还可以在安全法规和安全意识培训方面提供帮助。后记勒索软件愈演愈烈的原因主要是利益驱动,针对企业最有价值的数据,危及数据可用性。后续攻击者在偷偷窃取企业敏感数据后,更有可能利用APT攻击进一步加密数据进行勒索,从而使攻击者的价值最大化。对于传统的业务领导者和IT管理者来说,他们应该能够认识到企业信息化转型后的IT威胁和风险影响,从而能够在企业信息安全建设和数据安全方面给予IT部门和安全部门各种需求。安全资源,包括选择专业的第三方安全服务商,从安全管理和安全技术等多方面进行防范,减少和避免各类信息安全事件的发生。
