勒索病毒事件愈来愈多

 

近期针对传统行业的勒索病毒攻击事件愈来愈多，甚至一天内会有多家同一行业的企业同时受到攻击，造成企业业务运营中断，个人和公司重要数据遭受破坏等严重安全问题。

 

这种情况一方面说明勒索病毒攻击已经开始组织化和行业化，另一方面也说明传统行业在信息安全方面防护能力脆弱，相比于互联网、金融等行业，在信息安全管理和安全技术方面存在更多漏洞，更容易成为勒索病毒攻击的对象。

 

 勒索病毒危害分析

 

机器感染勒索病毒后，使用人员会很快发现许多常见的文件如word，Excel，pdf等不能正常打开，异常现象明显，因此很容易发现并上报到IT或安全部门，如果处置及时，一般不会造成企业内大量机器感染。

 

但是另一方面，由于勒索病毒使用了非对称加密方式对机器上的所有数据文件进行加密，如果没有对应的解密密钥，被加密后的文件基本不可能再被解密和还原。因此对已经感染勒索病毒的个人电脑和服务器，如果之前没有及时进行数据备份，可能会因为关键数据丢失而造成无法挽回的损失。

 

如何正确处置勒索病毒感染事件

 

根据我们之前处理勒索病毒事件总结的经验，企业在发现一台或多台机器感染勒索病毒后，IT人员和安全人员可按照如下流程进行正确处置（如果企业没有设置信息安全岗位，建议立即联系第三方专业安全服务公司协助处置）。

 

3.1 确认勒索病毒感染迹象

 

l 勒索病毒感染后，桌面或文件夹通常会出现类似how_to_decrypt.hta网页文件，可通过浏览器打开，主要是英文信息，显示勒索提示信息及解密联系方式等；

l 同时很多文件被加上乱七八糟的带有勒索病毒攻击者邮箱地址信息的后缀名，文件不能被正常打开；（类似如下截图）

 

3.2 隔离已感染机器，避免勒索病毒进一步扩散

 

对存在上述勒索病毒感染迹象的机器，应立即实施网络或物理隔离，避免勒索病毒通过公司有线和无线网络继续传播。隔离方法包括：

• 已感染的无线上网机器，禁用无线网卡；
• 已感染的有线上网用户，禁用有线网卡，同时拔掉机器的物理网线；
• 如果同一网段有多台机器感染，可通过交换机进行断网，或修改无线网络密码；
• 已感染关键岗位电脑和重要服务器，立即关机，避免勒索病毒进一步加密所有文件；
• 专人整理感染机器列表，供后续处置；

 

3.3 对暂未感染勒索病毒的机器进行加固，防止可能的感染途径

 

勒索病毒感染一台机器后，会通过文件共享、操作系统远程利用漏洞、账号弱密码等方式，进一步获取其它机器或AD服务器的账号，从而进行全网络感染。

 

对暂未明确发现感染勒索病毒迹象的机器，基于勒索病毒的传播方法和传播途径，可采取一些基本的安全措施快速进行防护，避免感染。这些安全措施包括：

• 修改个人电脑、应用服务器、域控服务器登录密码，修改为强密码；
• 禁用guest账号；
• 统一关闭139、445端口，关闭RDP服务；
• 安装360、火绒等防病毒软件进行防护和查杀；
• 更新操作系统安全补丁；

 

3.4 分析已感染机器，提取病毒特征

 

如果能够快速定位出勒索病毒文件特征（如进程名称，执行路径，文件大小，md5值，自启动位置，进程保护文件等），可立即开始全网排查，找出网络内其它已感染的机器并进行隔离，从而减少整个勒索病毒事件的处置时间，降低勒索病毒给企业带来的危害和损失。

 

• 根据我们处置勒索病毒的经验，可优先从以下几方面进行，包括：
• 和感染机器人员进行深入沟通，如什么时间发现异常，之前执行过哪些操作等，可帮助快速定位可能的病毒感染源；
• 通过任务管理器，查看CPU、内存、IO使用率高的可疑进程（特别是文件很多的机器，勒索病毒加密需要占用大量机器资源）；
• 安装病毒查杀工具，快速查找病毒文件，如火绒、360、clamav、BitDefender等；
• 安装其它系统安全工具，包括微软提供的SysinternalsSuite安全工具（autoruns64.exe，procexp64.exe，procmon.exe，tcpview.exe等），PCHunter，火绒剑等进行分析；

 

通过以上操作，安全人员应该可以查找出勒索病毒文件和执行进程，可进一步通过在线病毒查杀引擎快速对病毒文件进行确认，如：www.virustotal.com， www.virscan.org等网站。

 

对确认为勒索病毒的可执行文件，可进一步通过在线沙盘快速进行行为分析，如s.threatbook.cn，App.any.run等，确认病毒行为特征。如通过微步云沙箱对某个伪装成svchost.com文件的勒索病毒分析结果：

 

确认勒索病毒行为特征后，可通过停止勒索病毒进程，新建文件并观察，启动勒索病毒进程，查看文件是否被加密，进一步确认勒索病毒。

 

3.5 根据病毒特征，全网筛查感染机器

 

通过提取的勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征，可通过域控、单机或专业桌面管理工具等进行操作，迅速进行全网排查。对存在感染勒索病毒特征的机器，进行断网隔离，并删除勒索病毒文件和进程，同时持续监控是否继续感染。

 

另外基于勒索病毒的网络行为特征，可进一步通过交换机镜像流量分析，查找网络内是否存在已感染机器。

 

3.6 已感染机器处置

 

已感染勒索病毒的机器，可通过停止勒索病毒进程，删除保护进程或文件的方法，禁止勒索病毒运行。同时通过U盘备份未加密文件。

 

文件备份后，统一重新安装操作系统，并按照安全基线进行加固和检测后，部署应用和恢复数据。

 

3.7 勒索病毒感染溯源

 

勒索病毒感染途径一般包括：外网服务器存在漏洞(如应用层漏洞，RCE高危补丁未更新，账号弱密码等)，钓鱼邮件附件，长期隐藏存在的APT攻击等。

 

勒索病毒溯源可通过对最初感染机器的人员操作行为和操作系统日志分析，企业内网络设备和安全设备日志分析等，进一步追溯原始漏洞和入侵方式。

 

3.8 修复感染源漏洞

 

如果能够追溯到最初的感染源，可有针对性地进行安全加固。如果不能追溯到原始安全漏洞，也应根据勒索病毒传播方式进行安全加固，包括安全意识宣讲，外网安全漏洞扫描和渗透，防病毒软件安装、安全补丁更新等。

 

3.9 安全事件总结

 

根据勒索病毒溯源结果，IT或安全负责人应对勒索病毒感染源情况进行说明，对感染机器、数据损失、恢复情况、恢复时间和费用等进行说明。

 

3.10 制定后续安全加固方案

 

企业感染勒索病毒的根本原因必然是在安全技术或安全管理方面存在某些漏洞，如没有安装防病毒软件对勒索病毒文件进行查杀，非IT部门员工缺乏基础的信息安全意识，随意保存和打开勒索病毒可执行文件等。这些当前存在的和潜在的各种安全漏洞和安全风险需要及时处置，并最终在多层次、多阶段建立一个统一的纵深安全防御体系。

 

新钛云服可以基于安全最佳实践并结合企业安全现状，从远程办公、网络安全边界、终端准入、桌面管理、防病毒、数据防泄密、日常安全服务等多方面为企业提供合适的安全防护解决方案，同时也可以在安全规范、安全意识培训等方面提供帮助。

 

后记

 

勒索病毒越演越烈的背后原因主要还是利益驱动，针对的是企业最具价值的数据，危害的是数据的可用性。后续攻击者更有可能利用APT攻击，在秘密窃取企业敏感数据后，进一步加密数据进行勒索，从而最大化攻击者价值。

 

对传统企业领导者和IT管理者而言，应能够认识到企业信息化转型后的IT威胁和风险影响，从而在企业信息安全建设和数据安全方面，可以给予IT部门和安全部门需要的各类安全资源，包括选择专业的第三方安全服务厂商，进而可以从安全管理和安全技术多方面进行防范，减少和避免各类信息安全事件的发生。

 

作者：新钛云服 王爱华