banner
B1ueD0g

BlueDog's Home

上班使我怨气比鬼重!
x
telegram
email
首頁零信任AI 安全国学经典随笔封存AboutMe

關於勒索病毒的那些事

#技术学习111
AI 翻譯
這篇文章透過AI由簡體中文翻譯成繁體中文查看原文

前言#

勒索病毒是一種極具傳播性、破壞性的惡意軟體,主要利用多種密碼算法加密用戶數據,恐嚇、脅迫、勒索用戶高額贖金。近期,勒索病毒攻擊形勢更加嚴峻,已經對全球能源、金融等領域重要企業造成嚴重影響。由於勒索病毒加密信息難以恢復、攻擊來源難以追蹤,攻擊直接影響與生產生活相關信息系統的正常運轉,勒索病毒對現實世界威脅加劇,已成為全球廣泛關注的網絡安全難題。

相關背景#

勒索病毒威脅已經成為當前最受關注的網絡安全風險之一。而結合信息竊取和泄露的二次勒索模式,使得勒索病毒的危害進一步加深。針對個人、企業、政府機關、各類機構的攻擊層出不窮,在勒索病毒威脅面前,沒有人能夠置身事外。在勒索病毒處置中,如能及時正確處置,可有效降低勒索病毒帶來的損失,避免病毒影響進一步擴散。

勒索病毒攻擊事件數量持續走高#

2021 年上半年,國際方面,統計全球公開披露的勒索病毒攻擊事件 1200 余起,與 2020 年全年披露的勒索病毒攻擊事件數量基本持平;國內方面,國家工業互聯網安全態勢感知與風險預警平台監測發現勒索病毒惡意域名的訪問量 5.05 萬次,同比增長超過 10 倍,其中,截至 2021 年第二季度勒索病毒惡意域名訪問量如圖下圖所示。

image-20231008173612700

勒索病毒概述#

典型勒索病毒包括文件加密、數據竊取、磁碟加密等類型,攻擊者主要通過釣魚郵件、網頁掛馬等形式傳播勒索病毒,或利用漏洞、遠程桌面入侵等發起攻擊,植入勒索病毒並實施勒索行為。

(一)勒索病毒主要類型#

1. 文件加密類勒索病毒 該類勒索病毒以 RSA、AES 等多種加密算法對用戶文件進行加密,並以此索要贖金,一旦感染,極難恢復文件。該類勒索病毒以 WannaCry 為代表,自 2017 年全球大規模爆發以來,其通過加密算法加密文件,並利用暗網通信回傳解密密鑰、要求支付加密貨幣贖金等隱蔽真實身份的勒索病毒攻擊模式引起攻擊者的廣泛模仿,文件加密類已經成為當前勒索病毒的主要類型。

2. 數據竊取類勒索病毒 該類勒索病毒與文件加密類勒索病毒類似,通常採用多種加密算法加密用戶數據,一旦感染,同樣極難進行數據恢復,但在勒索環節,攻擊者通過甄別和竊取用戶重要數據,以公開重要數據脅迫用戶支付勒索贖金。據統計,截至 2021 年 5 月,疑似 Conti 勒索病毒已經攻擊並感染全球政府部門、重點企業等 300 余家單位,竊取並公開大量數據。

3. 系統加密類勒索病毒 該類勒索病毒同樣通過各類加密算法對系統磁碟主引導記錄、卷引導記錄等進行加密,阻止用戶訪問磁碟,影響用戶設備的正常啟動和使用,並向用戶勒索贖金,甚至對全部磁碟數據進行加密,一旦感染,同樣難以進行數據恢復。例如,2016 年首次發現的 Petya 勒索病毒,對攻擊對象全部數據進行加密的同時,以病毒內嵌的主引導記錄代碼覆蓋磁碟扇區,直接導致設備無法正常啟動。

4. 螢幕鎖定類勒索病毒 該類勒索病毒對用戶設備螢幕進行鎖定,通常以全螢幕形式呈現涵蓋勒索信息的圖像,導致用戶無法登錄和使用設備,或偽裝成系統出現藍屏錯誤等,進而勒索贖金,但該類勒索病毒未對用戶數據進行加密,具備數據恢復的可能。例如,WinLock 勒索病毒通過禁用 Windows 系統關鍵組件,鎖定用戶設備螢幕,要求用戶通過短信付費的方式支付勒索贖金。

(二)勒索病毒典型傳播方式#

1. 利用安全漏洞傳播 攻擊者利用弱口令、遠程代碼執行等網絡產品安全漏洞,攻擊入侵用戶內部網絡,獲取管理員權限,進而主動傳播勒索病毒。目前,攻擊者通常利用已公開且已發布補丁的漏洞,通過掃描發現未及時修補漏洞的設備,利用漏洞攻擊入侵並部署勒索病毒,實施勒索行為。

2. 利用釣魚郵件傳播 攻擊者將勒索病毒內嵌至釣魚郵件的文檔、圖片等附件中,或將勒索病毒惡意鏈接寫入釣魚郵件正文中,通過網絡釣魚攻擊傳播勒索病毒。一旦用戶打開郵件附件,或點擊惡意鏈接,勒索病毒將自動加載、安裝和運行,實現實施勒索病毒攻擊的目的。

3. 利用網站掛馬傳播 攻擊者通過網絡攻擊網站,以在網站植入惡意代碼的方式掛馬,或通過主動搭建包含惡意代碼的網站,誘導用戶訪問網站並觸發惡意代碼,劫持用戶當前訪問頁面至勒索病毒下載鏈接並執行,進而向用戶設備植入勒索病毒。

4. 利用移動介質傳播 攻擊者通過隱藏 U 磁碟、移動硬碟等移動存儲介質原有文件,創建與移動存儲介質盤符、圖標等相同的快捷方式,一旦用戶點擊,自動運行勒索病毒,或運行專門用於收集和回傳設備信息的木馬程序,便於未來實施針對性的勒索病毒攻擊行為。

5. 利用軟件供應鏈傳播 攻擊者利用軟件供應商與軟件用戶間的信任關係,通過攻擊入侵軟件供應商相關伺服器設備,利用軟件供應鏈分發、更新等機制,在合法軟件正常傳播、升級等過程中,對合法軟件進行劫持或篡改,規避用戶網絡安全防護機制,傳播勒索病毒。

6. 利用遠程桌面入侵傳播 攻擊者通常利用弱口令、暴力破解等方式獲取攻擊目標伺服器遠程登錄用戶名和密碼,進而通過遠程桌面協議登錄伺服器並植入勒索病毒。同時,攻擊者一旦成功登錄伺服器,獲得伺服器控制權限,可以伺服器為攻擊跳板,在用戶內部網絡進一步傳播勒索病毒。

勒索病毒攻擊現狀#

結合近期攻擊事件,勒索病毒攻擊主要在攻擊目標、攻擊手段等方面呈現新特點,同時攻擊者開始構建精準複雜的攻擊鏈,發起勒索病毒攻擊。

(一)近期勒索病毒攻擊特點#

1. 瞄準行業重要信息系統,定向實施勒索病毒攻擊。攻擊者瞄準能源、醫療等承載重要數據資源的行業信息系統作為勒索病毒攻擊 “高價值” 目標,摒棄傳統利用釣魚郵件、網頁掛馬等 “廣散網” 無特定目標的勒索病毒傳播模式,向涵蓋探測偵察、攻擊入侵、病毒植入等的精準化勒索病毒攻擊鏈轉變,如嗅探網絡發現攻擊入口、利用漏洞攻擊入侵等,針對行業重要信息系統發起定向攻擊,植入勒索病毒並勒索超高額贖金。

2. 佯裝勒索病毒攻擊,掩蓋真實網絡攻擊意圖。攻擊者通過甄別重點攻擊目標,假裝加密數據文件並實施勒索,利用勒索病毒遍歷系統文件、覆蓋系統引導目錄,以及類後門木馬的功能,佯裝實施勒索病毒攻擊,隱藏其竊取敏感信息、破壞信息系統等的真實攻擊意圖。據披露,在 Agrius、Pay2Key 等黑客組織的攻擊活動中,被認為假裝加密數據並勒索贖金,掩蓋其直接破壞信息系統的攻擊行為。

3. 針對工控系統專門開發勒索病毒,工業企業面臨攻擊風險加劇。攻擊者通過集成工控系統軟硬件漏洞,或內嵌強制中止實時監控、數據採集等工業領域常用系統的惡意功能,開發和升級形成 Cring、EKANS 等具備專門感染工控系統能力的勒索病毒,針對工業企業實施攻擊,引發企業生產線、業務線停工停產的嚴重影響。此外,通過攻擊入侵投遞和植入 REvil、DarkSide 等典型勒索病毒,同樣存在利用勒索病毒攻擊工業企業的可能。

4. 漏洞利用仍是攻擊主要手段,引發勒索病毒傳播一點突破、全面擴散。攻擊者主要利用已公布漏洞,通過漏洞掃描、端口掃描等方式主動發現未及時修補漏洞的設備,利用漏洞 “一點突破” 網絡安全防線,實施遠程攻擊入侵,並在攻擊目標內部網絡橫向移動,擴大勒索病毒感染範圍,實施勒索行為。

5. 以虛擬化環境作為攻擊跳板,雙向滲透傳播勒索病毒。勒索病毒攻擊開始以虛擬化環境為通道,通過感染虛擬機、虛擬雲伺服器等,強制中止虛擬化進程,或利用虛擬化產品漏洞、虛擬雲伺服器配置缺陷等,實現虛擬化環境的 “逃逸”,進而向用戶和網絡 “双向滲透” 傳播勒索病毒。

6. 經濟利益驅動運作模式升級,初步形成勒索病毒黑產鏈條。部分勒索病毒攻擊團夥開發形成 “勒索病毒即服務”,面向團夥 “會員” 提供 “開箱即用” 的勒索病毒攻擊服務,如購買勒索病毒程序、靶標系統訪問權限,或訂購針對特定目標的勒索病毒攻擊服務等。同時,在病毒開發、攻擊入侵等環節招募 “合作夥伴”,“分工協作” 增加勒索病毒攻擊成功率。據披露,REvil 勒索病毒攻擊團夥負責開發病毒、勒索談判、贖金分成等,其 “合作夥伴” 負責入侵目標網絡等。

(二)典型勒索病毒攻擊流程#

聚焦勒索病毒攻擊鏈,近期勒索病毒攻擊團夥在成功實施網絡攻擊入侵的基礎上,植入勒索病毒並實施勒索行為,其典型攻擊流程主要包括探測偵察、攻擊入侵、病毒植入、實施勒索 4 個階段。

1. 探測偵察階段#

1 > 收集基礎信息#

攻擊者通過主動掃描、網絡釣魚以及在暗網黑市購買等方式,收集攻擊目標的網絡信息、身份信息、主機信息、組織信息等,為實施針對性、定向化的勒索病毒攻擊打下基礎。

2 > 發現攻擊入口#

攻擊者通過漏洞掃描、網絡嗅探等方式,發現攻擊目標網絡和系統存在的安全隱患,形成網絡攻擊的突破口。此外,參照勒索病毒典型傳播方式,攻擊者同樣可利用網站掛馬、釣魚郵件等方式傳播勒索病毒。

2. 攻擊入侵階段#

1 > 部署攻擊資源#

根據發現的遠程桌面弱口令、在網信息系統漏洞等網絡攻擊突破口,部署相應的網絡攻擊資源,如 MetaSploit、CobaltStrike、RDP Over Tor 等網絡攻擊工具。

2 > 獲取訪問權限#

採用合適的網絡攻擊工具,通過軟件供應鏈攻擊、遠程桌面入侵等方式,獲取攻擊目標網絡和系統的訪問權限,並通過使用特權賬戶、修改域策略設置等方式提升自身權限,攻擊入侵組織內部網絡。

3. 病毒植入階段#

1 > 植入勒索病毒#

攻擊者通過惡意腳本、動態鏈接庫 DLL 等部署勒索病毒,並劫持系統執行流程、修改註冊表、混淆文件信息等方式規避安全軟件檢測功能,確保勒索病毒成功植入並發揮作用。

2 > 擴大感染範圍#

攻擊者在已經入侵內部網絡的情況下,通過實施內部魚叉式網絡釣魚、利用文件共享協議等方式在攻擊目標內部網絡橫向移動,或利用勒索病毒本身類蠕蟲的功能,進一步擴大勒索病毒感染範圍和攻擊影響。

4. 實施勒索階段#

1 > 加密竊取數據#

攻擊者通過運行勒索病毒,加密圖像、視頻、音頻、文本等文件以及關鍵系統文件、磁碟引導記錄等,同時根據攻擊目標類型,回傳發現的敏感、重要的文件和數據,便於對攻擊目標進行勒索。

2 > 加載勒索信息#

攻擊者通過加載勒索信息,脅迫攻擊目標支付勒索贖金。通常勒索信息包括通過暗網論壇與攻擊者的聯繫方式、以加密貨幣支付贖金的錢包地址、支付贖金獲取解密工具的方式等。

勒索病毒攻擊安全防護舉措#

1. 勒索病毒攻擊安全防護框架#

由於不同的安全防護措施在勒索病毒攻擊的不同階段發揮不同程度的作用,通過梳理勒索病毒典型安全防護措施,按照核心防護措施(●)、重要防護措施(◎)、一般防護措施(○),與勒索病毒攻擊的 4 個階段形成映射關係,構建形成勒索病毒攻擊安全防護框架。建議用戶根據自身情況,選擇恰當的防護措施,防範化解勒索病毒攻擊風險。

1. 核心防護措施 該類措施在特定勒索病毒攻擊階段發揮核心防護作用,有效阻斷勒索病毒攻擊行為或全面消除勒索病毒攻擊引發的特定影響等。例如,數據備份、數據恢復主要針對勒索病毒攻擊實施勒索的階段,通過攻擊前備份數據、攻擊後恢復數據,消除由於勒索病毒加密、竊取數據,引發數據丟失,甚至是業務中斷等方面的攻擊影響。

2. 重要防護措施 該類措施在特定勒索病毒攻擊階段發揮重要防護作用,但與核心防護措施相比,未能發揮全面防範應對勒索病毒攻擊的效果。例如,採取恰當的安全管理措施,如嚴格的網絡隔離、訪問控制等,在攻擊者獲取訪問權限實施攻擊入侵方面發揮核心防護作用,但在偵察探測的收集基礎信息攻擊階段,攻擊者可能採取主動網絡探測、暗網黑市購買等多種方式,安全管理在該階段未能發揮全面防範應對的效果,發揮重要防護作用。

3. 一般防護措施 該類措施在特定勒索病毒攻擊階段發揮一般的防護作用,但與核心防護措施和重要防護措施相比,僅能在一定程度上發揮防範應對勒索病毒攻擊的效果。例如,制定應急預案主要針對攻擊者已經開始實施勒索病毒攻擊,明確應急處置機制、流程等,在已經發現遭受勒索病毒攻擊的情況,啟動預案並採取措施應對攻擊風險,但在勒索病毒攻擊發生前,安全防護措施主要以事前防範為主,因此制定應急預案在攻擊者正式實施攻擊前發揮一般防護作用。

image-20231009134836626

2. 勒索病毒攻擊安全防護實操參考#

按照勒索病毒攻擊 “事前、事中、事後” 三個階段,從管理、技術兩個方面防範化解攻擊風險,典型勒索病毒攻擊安全防護措施和實操主要包括以下幾個方面。

1 > 事前:夯實防範基礎#

(1)制定網絡安全應急預案 建立內部涵蓋勒索病毒攻擊等網絡安全突發事件的應急組織體系和管理機制,加強勒索病毒攻擊應對統籌管理,明確工作原則、職責分工、應急流程、關鍵措施等。一旦發生勒索病毒攻擊事件,立即啟動內部網絡安全應急預案,並按照預案要求及時開展應急處置工作,確保有效控制、減輕、消除勒索病毒攻擊影響。

  • 職責分工:明確組織內部網絡安全應急預案中的具體職責及分工,建立涵蓋勒索病毒攻擊等網絡安全突發事件的應急組織體系,通常由組織特定部門牽頭,高度協調內部相關部門,識別風險、加強防範、做好應急,從組織安全、個人安全等層面防範化解網絡安全突發事件。
  • 應急流程:明確涵蓋勒索病毒攻擊等在內的網絡安全突發事件應急流程和主要工作內容,其中,針對勒索病毒攻擊的應急流程通常包括但不限於立即隔離感染勒索病毒的設備、排查主要業務系統的感染範圍、利用備份數據進行數據恢復等。
  • 關鍵措施:明確涵蓋勒索病毒攻擊等在內的網絡安全突發事件應急響應關鍵措施,包括但不限於定期組織網絡安全演習、建立網絡安全監測處置專業技術手段、加強網絡安全應急響應技術支撐隊伍建設、儲備漏洞檢測和網絡掃描等網絡安全應急裝備、開展網絡安全應急培訓等。

(2)加強組織內部網絡安全管理 在網絡隔離、資產管理等方面採取措施,如進行物理和邏輯的網絡隔離、及時更新殺毒軟件和漏洞補丁、避免關鍵信息系統在互聯網上暴露、與供應商簽訂協議明確安全責任和義務、評審供應商提供服務情況等。

  • 網絡隔離:採用合理的網絡分區,限制勒索病毒的入侵和傳播。如根據不同業務需要將網絡分為隔離區、內網區、外來接入區、內網伺服器區等,並限制不同分區間的網絡訪問。在同一分區內,採用虛擬局域網技術隔離不同部門資產,降低由於單一設備感染勒索病毒,導致勒索病毒在內部網絡進一步傳播的可能。
  • 訪問控制:對組織關鍵業務系統設置嚴格的訪問權限,如按照權限最小化原則開放必要的訪問權限、根據訪問控制策略設置訪問控制規則等。及時對訪問控制規則進行更新,刪除多餘或無效的訪問控制規則,如定期對開放的訪問權限進行梳理,及時刪除因人員離職、資產 IP 變更後存留的訪問權限。
  • 資產管理:排查組織資產暴露情況,梳理暴露資產真實範圍,梳理範圍涵蓋組織分公司、下級機構等相關資產,梳理時間根據自身實際情況如每周、月、半年等進行資產梳理。同時,按照最小化原則,儘可能減少在資產互聯網上暴露,特別是避免重要業務系統、數據庫等核心信息系統在互聯網上暴露。
  • 漏洞排查:對組織資產進行漏洞排查,一旦發現資產存在安全漏洞,及時進行修補。採用漏洞掃描等設備和產品的,對漏洞掃描設備進行集中管理,建立完整、持續的漏洞發現和管理手段;具備導入第三方漏洞報告能力,支持導入和分析主流廠家漏洞和配置核查掃描結果;針對掃描的漏洞結果加強漏洞知識庫關聯,及時獲取漏洞信息和解決方案等。
  • 身份鑑別:對用戶進行身份標識和鑑別,如保證身份標識具有唯一性、採用動態口令等兩種或兩種以上身份鑑別、具備防範口令暴力破解的能力、口令等身份鑑別信息符合複雜度要求並定期更換、推行口令定期強制修改和出廠口令修改等。同時,通過採用掃描軟硬件對系統口令定期進行安全性評估,識別發現並及時消除口令安全風險。
  • 軟件管理:規範組織內部軟件版本管理機制,避免使用盜版或來路不明的軟件,使用軟件風險評估系統或工具定期檢測關鍵業務系統使用的相關軟件版本,避免由於軟件版本低引發安全風險。基於網絡流量對組織內部訪問 “風險網站” 進行檢測和阻斷,降低由於下載和安裝惡意軟件,導致感染勒索病毒的可能。
  • 供應鏈管理:部署供應鏈安全風險防控措施,包括供應鏈相關人員管理、供應鏈生命周期管理、採購外包與供應商管理。採用的網絡設備、安全產品、密碼產品等產品與服務的採購和使用符合國家有關規定。與選定的供應商簽訂協議,明確供應鏈各方履行的安全責任和義務,定期審視、評審和審核供應商提供的服務,對其變更服務內容加以控制。

(3)部署專業網絡安全產品 在終端側、網絡側等部署網絡安全產品,並日常排查設備告警情況。例如,在終端側,安裝具有主動防禦功能的安全軟件,不隨意退出安全軟件、關閉防護功能、執行放行操作等,並設立應用軟件白名單,及時保持白名單的準確性、完整性、即時性;在網絡側,部署流量監測、阻斷等類型的網絡安全設備,加強針對勒索病毒攻擊威脅的監測、溯源等。

  • 終端側:在終端側部署殺毒軟件、終端安全管理系統等終端安全產品,對勒索病毒進行檢測和查殺。終端安全產品應支持防暴力破解、端口掃描以及系統登錄防護、弱口令檢測能力;可支持雲端威脅情報聯動、本地即時監測等多種模式,具備勒索病毒專殺的功能;具備勒索病毒免疫、應用進程防護等能力,如利用文件防護產品,檢測文件的執行、生成、修改、重命名等,發現遍歷大量文件、文件修改操作、調用加密算法庫等時,及時提示和攔截。利用勒索病毒誘餌文檔,發現惡意修改文檔的行為,並攔截關聯進程。針對核心的應用數據,支持驅動級的文件保護、設置合規進程訪問策略等,杜絕非合規進程對文件的任意修改。
  • 網絡側:通過在網絡邊界部署防火牆、堡壘機等產品,僅允許授權用戶對關鍵業務系統進行訪問,實現訪問權限限制和管理,並與檢測系統聯動,通過流量解析實施勒索病毒攻擊告警,防火牆根據告警封禁攻擊 IP 地址;部署 IPS、UTS 等流量監測阻斷產品,通過還原流量中傳播的勒索病毒樣本,聯動威脅情報、沙箱分析等,識別和阻斷投遞過程中勒索病毒;部署郵件安全網關、郵件威脅分析系統等產品,檢測和攔截郵件投遞的勒索病毒。
  • 中心側:部署網絡安全威脅管理平台、漏洞掃描系統等產品,對安全漏洞威脅、弱口令風險等實現及時發現和閉環管理;部署網絡安全態勢感知平台,通過對原始流量、網絡告警等信息的收集和分析,監測勒索病毒攻擊情況、發現病毒傳播線索;針對性部署勒索病毒攻擊常用高風險漏洞蜜罐,發現勒索病毒橫向傳播行為,在勒索病毒接觸到真實攻擊目標前進行預警,同時對通過蜜罐環境捕獲到的勒索病毒和傳播方式進行溯源分析。
  • 伺服器側:結合伺服器計算、存儲等方面資源優勢,在具備支持驅動級的文件保護以及防暴力破解、端口掃描等終端側防護措施的基礎上,通過投放誘餌文檔,即時監控誘餌文檔的改動,依據文檔的 MD5 值判定系統是否遭受勒索病毒加密,一旦單位時間內多個誘餌文件連續發生改動,即正遭受勒索病毒攻擊,立即終止修改誘餌文件的進程,並隔離進程對應的文件;對已知勒索病毒,可通過內核搶佔字符,實現對特定勒索病毒的攻擊免疫;當發現系統中文件創建、修改或進程啟動、模塊加載等事件時,應用層應主動調用殺毒引擎對此文件進行病毒掃描檢查;建立應用進程的白名單,實現對惡意應用進程的攔截。

(4)加強用戶網絡安全意識 以培訓、演練等提高網絡安全意識,在用戶層面切斷勒索病毒傳播的入口。例如,在文件方面,不點擊來源不明的郵件附件、打開郵件附件前進行安全查殺等;在網站方面,不從不明網站下載軟件等;在外接設備方面,不混用工作和私人的外接設備、關閉移動存儲設備自動播放功能並定期進行安全查殺等。

  • 文件方面:在文件安全方面的安全意識包括但不限於不安裝來路不明的軟件、不點擊來源不明的郵件附件、禁用微軟 Office 軟件宏功能,以及不輕易打開文件擴展名為 js、vbs、wsf、bat、cmd、ps1、sh 等腳本文件和 exe、scr、com 等可執行程序,對於陌生人通過郵件等方式發送的壓縮文件包打開前進行安全查殺等。
  • 網站方面:在網站安全方面的安全意識包括但不限於不從不明網站下載軟件、不點擊不可信來源郵件中的 URL 等,同時瀏覽網頁時應提高安全警惕,不瀏覽含有色情、賭博等不良信息的網站,使用具有安全功能或安全提醒的瀏覽器軟件,降低遭遇網站掛馬、網站釣魚等安全風險的可能。
  • 外接設備方面:在設備安全方面的安全意識包括但不限於不使用來路不明的移動存儲設備、不混用工作和私人的外接移動存儲設備、定期對移動存儲設備進行安全查殺等,在工作設備與移動存儲設備外連時,關閉移動存儲設備的自動播放功能,並使用安全軟件對移動存儲設備進行安全查殺。
  • 遠程使用方面:在遠程使用方面的安全意識包括但不限於遠程訪問僅向必要人員授權、關鍵終端採用雙重認證、設定賬戶異常鎖定策略、修改默認遠程使用端口如 RDP 協議 3389 端口和 SSH 協議 22 端口、通過防火牆限制和只允許特定地址連接、限制遠程訪問數據庫。

(5)做好重要數據備份工作 根據文件和數據的重要程度分類分級進行存儲和備份,如主動加密存儲重要、敏感的數據和文件,防範利用勒索病毒的雙重或多重勒索行為。明確數據備份的範圍、內容、周期等,定期採取本地備份、異地備份、雲端備份等多種方式進行數據備份,增加遭受勒索病毒攻擊且數據文件加密、損壞、丟失等情況下恢復數據的可能。

  • 數據分級分類策略:在理清組織內部數據資產全貌的基礎上,根據數據對組織重要程度、數據本身屬性等,採取分級分類的方式存儲和備份數據。如按照公開、內部、秘密數據,或根據數據對應的不同業務類型,對數據進行存儲和備份。

  • 敏感數據加密存儲:對關鍵數據、敏感數據和文件進行加密存儲,如利用加密工具、加密系統、加密硬件等方式,對存儲數據的硬件設備進行全盤加密或對存儲數據的扇區進行加密、將數據文件加密存儲至硬件設備、在數據傳輸中進行加密等。

  • 定期進行數據備份:採取實時備份、定時備份等方式對數據進行備份。如在存儲設備發生傳輸、接收等數據變化時進行同步或異步實時備份,設置明確數據備份時間定時進行數據備份,或通過設置數據存儲目錄變化、應用操作結束等數據備份觸發條件進行數據備份。

2 > 事中:做好應急響應#

(1)隔離勒索病毒感染設備 確認遭受勒索病毒攻擊後,應採取斷網、關機等方式隔離感染設備。其中,可採取拔掉設備網線、禁用設備網卡、關閉無線網絡等方式斷網,防止勒索病毒通過感染設備自動連接的網絡在內部傳播並進一步感染其他設備。

  • 物理隔離:確認遭到勒索病毒攻擊,為防止感染設備自動通過連接的網絡進一步傳播病毒,同時防止攻擊者通過感染設備繼續攻擊入侵其他設備,採取斷網、斷電的方式隔離感染設備,同時關閉設備的無線網絡、藍牙連接等,禁用網卡並拔掉設備全部外部存儲設備。
  • 修改口令:為防止由於口令泄露、破解等導致攻擊者攻擊入侵,進而實施勒索病毒攻擊,同時防止攻擊者使用泄露、破解的口令進一步擴大攻擊範圍,立即修改感染設備的登錄密碼、同一局域網下的其他設備密碼、最高級系統管理員賬號的登錄密碼。

(2)排查勒索病毒感染範圍 在已經隔離感染設備的情況下,對數據備份、網絡分布、信息泄露等情況進行排查,並檢查核心業務是否遭受攻擊影響。對於感染情況不明的設備,應提前進行磁碟備份,在隔離網內現場或線上排查,避免啟動設備時因殘留勒索病毒再次感染。

  • 信息泄露排查:一旦發現遭受勒索病毒攻擊,及時排查信息泄露情況。同時,在隔離勒索病毒感染設備後,及時排查存儲有敏感信息的設備異常訪問情況,確認是否存在敏感數據泄露的風險。
  • 網絡拓撲排查:了解現場環境的網絡拓撲、業務架構、設備類型等關鍵信息,評估勒索病毒傳播範圍、攻擊手段等,對勒索病毒失陷區域作出初步判斷,為控制病毒擴散和根除病毒威脅提供支撐。
  • 業務系統排查:在確認設備感染勒索病毒後,並已經進行隔離的情況下,應即對核心業務系統和備份系統進行排查,重點排查核心業務系統是否遭受攻擊影響,生產經營相關系統是否遭到加密,進一步確定勒索病毒感染範圍。
  • 數據備份排查:隔離勒索病毒感染設備後,及時排查數據備份和可用情況。對於重要伺服器等設備採取數據備份冗餘策略,在一台伺服器遭受加密後,及時查看備份設備是否可以迅速有效對接,確保核心業務正常運轉。

(3)研判勒索病毒攻擊事件 通過感染的勒索病毒勒索信息、加密文件、桌面背景、可疑樣本、彈窗信息等借助工具對勒索病毒進行分析,或求助網絡安全專業人員對勒索病毒感染時間、傳播方法、感染種類等進行排查,確定感染的勒索病毒類型,便於嘗試進行病毒破解等。

  • 研判勒索病毒種類:勒索病毒在感染設備後,攻擊者通常通過加載勒索提示信息脅迫用戶支付贖金。遭受勒索病毒攻擊的組織可從加密的磁碟目錄中尋找勒索提示信息,並根據勒索病毒的標識判斷本次感染的勒索病毒種類。
  • 研判攻擊侵入手段:通過查看設備保留的日誌和樣本,判斷攻擊者攻擊入侵的方式。如日誌信息遭到刪除,通過查找感染設備上留存的勒索病毒的樣本或可疑文件,判斷攻擊者攻擊入侵的方式,便於進行安全隱患修補。

(4)嘗試進行勒索病毒破解 在確定勒索病毒類型的基礎上,嘗試利用勒索病毒本身加密特性、流程等破解,進而恢復遭到加密的全部或部分數據,如針對已經公布私鑰、以文件大小作為密鑰等的部分勒索病毒嘗試進行破解。其中,病毒破解技術專業性極高,可聯繫網絡安全企業尋求協助。

  • 已知私鑰破解:通過各種渠道獲取到勒索病毒攻擊團夥私鑰進行破解。如 GandCrab、Avaddon 等勒索病毒私鑰已經公開,相關解密工具可用於進行特定勒索病毒的破解。這裡推薦No More Ransom,輸入已識別勒索軟件的名稱,所有可用的解密器(如果有)都會列出。
  • 加密漏洞破解:通過分析挖掘勒索病毒本身編寫的不規範問題,獲取密鑰生成方式,如動態虛擬專用網絡採用的加密算法利用文件大小作為密鑰,生成密鑰進行解密。
  • 明密文碰撞解密:部分勒索病毒採用加密生成的固定長度密鑰串,可能通過明密文對比計算獲取勒索軟件使用的加密密鑰,進而進行勒索病毒的破解。
  • 暴力破解:通過對勒索軟件有限的密鑰空間進行窮盡,如針對利用時間做種子產生偽隨機數作為密鑰的情況,進行暴力破解獲取密鑰。

3 > 事後:實施安全加固#

(1)利用備份數據進行恢復 根據遭受勒索病毒攻擊影響相關設備數據備份的情況,按照數據恢復要求、備份日誌,衡量數據恢復時間成本、數據重要程度,確認數據恢復範圍、順序及備份數據版本,利用離線、異地、雲端等備份數據恢復。

  • 本地數據恢復:利用本地數據備份的數據進行恢復。本地備份數據同樣遭到勒索病毒加密的,可利用磁碟修復工具、文件容錯機制,或聯繫專業數據恢復企業進行數據恢復。
  • 異地數據恢復:使用數據備份副本進行數據恢復,將備份的數據遷移至本地。異地備份數據遭到加密時,同樣利用磁碟修復工具、文件容錯機制,或聯繫專業數據恢復企業進行數據恢復。
  • 雲端數據恢復:將雲快照備份的特定時間節點數據或雲鏡像備份的全量數據,下載至本地進行雲端數據恢復。數據本身存儲、應用均在雲端,根據組織對本地存儲、應用需求,選擇性進行數據恢復。

(2)更新網絡安全管理措施 根據勒索病毒攻擊事件暴露出來的問題,針對性修訂完善網絡安全管理制度,做好攻擊預警和處置,同時對攻擊事件進行復盤,並更新網絡安全突發事件應急預案,進一步落實網絡安全責任。

  • 完善管理制度:根據勒索病毒攻擊事件暴露出來的問題,及時有針對性的完善網絡安全管理制度。例如,檢查、識別網絡安全管理流程執行的現行管理標準與國家相關法律法規、管理規定、方針策略等要求和特點適應;準確識別獲取的法律法規標準對組織的適用性要求,進行必要的網絡安全管理制度和管理標準更新,及時清理過期的規章制度,確保組織網絡安全管理制度符合持續改進的要求。
  • 更新應急預案:應急預案與應急實踐是相互補充與促進的關係。在執行應急預案的情況下,應對每次網絡攻擊事件進行復盤,並根據暴露出的網絡安全問題,對應急預案包含的應急流程、關鍵措施等進行更新。例如,當出現因釣魚郵件而引發的勒索病毒事件,則需要在應急預案中設立專項處理釣魚郵件的管理小組,細化每個責任人的職責,同時需要細化個人安全管理制度的條例。

(3)加強網絡安全隱患修補 在消除勒索病毒攻擊影響的情況下,開展網絡安全隱患排查和修補。例如,在權限管理方面,重點排查弱口令、賬戶權限、口令更新和共用等問題;在漏洞修補方面,及時更新系統、軟件、硬件等漏洞補丁。

  • 口令管理:嚴格執行賬戶口令安全管理,重點排查弱口令問題,進一步健全組織內部口令管理機制。例如,規定全部個人終端、伺服器等設備配置口令,禁止存在無口令現象;在傳遞賬號和口令時,採取加密措施進行傳輸,避免在傳輸過程中遭到截取;口令設置應具有足夠的長度和複雜度,且使用數字、字母和符號等組合形式搭配;明確口令更新周期、定期進行修改,在規定期限內使用口令,用戶必須在管理員要求更改口令時進行口令更改;新口令與舊口令間應沒有直接的聯繫,加強利用舊口令推測新口令的防範;口令不應取具有特定含義的組合形式,如使用者姓名、生日和其他易於猜測的信息;嚴格檢查口令的重複率,以防攻擊者利用統一口令攻擊入侵多台設備。
  • 漏洞修補:完善組織資產漏洞、補丁升級、配置加固等,健全統一管理的安全機制和安全運營規範,例如,建立資產漏洞庫、補丁源、補丁可靠性驗證、定制補丁升級預案、補丁灰度升級、留存審查機制等安全措施,並按照安全運營規範規定的角色、職責、流程嚴格執行,確保系統自身的安全性;通過對所有系統的情況進行調查或利用漏洞掃描工具進行檢測,了解其實際漏洞存在情況;禁用官方已經停止更新維護的系統,及時更新至新系統再投入使用;在發現軟件和硬件產品存在漏洞時,應及時禁用,避免攻擊者在此期間利用該漏洞進行攻擊,關注補丁發布情況,修補漏洞再恢復使用。
  • 權限管控:做好組織內部權限管控管理,保證員工各司其職,做到責任到人、權責分明。例如,員工在工作職責發生變化時,現有職責與現有賬號權限不符合時,應當申請權限的變更,管理員發現用戶具有當前工作不需要的權限,應告知並停止多餘的權限;定期檢查賬戶情況,通過聯繫賬號負責人決定賬號的關停情況和權限範圍等;開通賬號應按照原則建立權限,以最小權限、最小資源的形式對其提供服務,如需更高權限,需根據實際情況進行審核批准。
  • 內網強化:在內外網間根據安全需求,將防火牆、網閘單向傳輸、入侵檢測、深包檢測還原與緩存等手段有機結合建立安全屏障。在終端側應部署立足於有效防護的終端防禦軟件。每天定期排查設備的事件告警,避免出現事件已經發生卻仍未知曉的情況;加固系統防護策略;排查主機相關安全設置,將存在問題的及時進行修改。嚴格管控移動設備接入內網,避免安全威脅通過移動設備傳入,並在內網不同區域間建立網絡監控機制,及時發現、處置不同區域之間網絡安全事件,避免網絡安全事件危害擴大。在組織內部部門網絡間做好相應管控措施,防止安全威脅事件從單一部門傳播到整個網絡。部門間進行互聯時,應按照獨立訪問的原則建立互通訪問權限,以最小權限訪問、最小資源的形式進行互聯互通。

(4)恢復感染設備正常使用 感染勒索病毒設備再次投入使用的,在採取磁碟格式化、系統重裝、刪除可疑文件和程序、消除勒索信息和加密文件等措施的情況下,避免二次感染勒索病毒,再恢復設備正常使用。

磁碟格式化:在確保勒索病毒無法進行隱藏、再次執行等情況下,進行磁碟格式化。由於部分勒索病毒對系統主引導記錄進行篡改,將勒索病毒自身移動至系統磁碟中隱藏,實現持久化的駐留,無法對操作系統磁碟進行格式化,應將勒索病毒進程終止,刪除樣本母體、衍生物、添加的註冊表項及啟動項,確保系統磁碟中不存在勒索病毒,且勒索病毒無法再次執行,避免再次感染勒索病毒。刪除可疑文件和程序:刪除可疑文件和程序前,應終止勒索病毒進程,避免出現進程佔用,導致無法刪除。部分勒索病毒將自身名字修改為系統進程,可使用安全軟件、專殺工具等查看當前系統程序的使用情況,避免終止進程錯誤導致系統無法正常運行,同時可使用安全軟件病毒查殺功能查找並刪除隱藏在系統中的可疑文件和程序。部分勒索病毒執行中,將自身文件屬性設置為隱藏或移動至臨時目錄、啟動項目錄或系統根目錄下,同時,在註冊表添加啟動項,實現開機啟動功能,達到持久化駐留的目的,可將文件隱藏屬性打開,移除可疑文件和程序,刪除其添加的註冊表項,確保設備重啟無再次勒索情況。

消除勒索信息和加密文件:根據勒索病毒感染、數據文件恢復等情況,選擇恰當的措施,消除勒索信息和加密文件。例如,已經通過病毒破解、數據恢復等恢復加密文件,可直接刪除被加密文件;無法對加密文件進行解密,且被加密文件具有一定的重要性,可對加密文件進行備份保存,以便於未來利用解密工具等恢復加密文件,備份工作完成可直接刪除加密文件。

速覽 Q&A - 光速學習版#

Q1:中勒索病毒,不知是否可解?#

可以到 360 勒索病毒搜索引擎查詢所感染勒索病毒家族近況。支持輸入後綴、黑客郵箱等關鍵詞查詢,也支持上傳被加密文件或黑客留下的勒索提示信息進行查詢。若查詢結果顯示可解,可通過No More Ransom下載解密工具,進行解密。

Q2:想恢復數據,能否提供付費解密服務?#

如果查詢結果提示 “暫時無法解密”,說明業界已對該家族進行過研究,但是暫時沒有找到技術破解的方案。目前暫不提供技術破解以外的其他形式解密服務,也沒有可以推薦的第三方服務商。若您認為確有必要尋求付費解密,可自行聯繫黑客付費購買密鑰,或通過聯繫第三方購買相關服務。

重要說明:第三方服務商所提供的解密方案為中介性質服務,代替用戶與黑客取得聯繫並操作後續的付費、解密流程,本質上並不具備技術破解能力。

Q3:購買密鑰需要注意什麼?#

首先,我們不推薦任何形式的交付贖金行為。若您執意要購買密鑰,我們建議應注意以下幾點:

  • 不建議直接向黑客付款。直接向黑客付款存在很大風險:

    • 一是可能拿到的解密工具並不能使用;
    • 其二是可能存在密鑰不對,無法解密您的文件;
    • 其三是黑客可能會再次甚至多次向您索要贖金。

  • 若必須向黑客付款,可在支付前先向黑客發送 1 到 2 個被加密文件,確認能解密成功後再確定是否付款。

  • 通過淘寶、搜索引擎或其它方式聯繫到的解密服務商,正式開展解密工作前一定要簽訂合同,明確解密不成功是否需要付款等問題,必要時可要求上門服務。

  • 不要諮詢過多第三方商家。因為第三方大多都是去找黑客購買密鑰。過多的聯繫第三方商家,會造成黑客收到多次關於你設備的諮詢,這可能導致黑客覺察到你對數據恢復有強烈需求,從而提高贖金。

  • 不要過度描述自己文件的重要性或自身的經濟實力,這可能會造成解密商或黑客提高佣金或贖金要求。

Q4:數據恢復方式是否有效?#

少部分勒索病毒由於其加密文件所使用的方式問題,導致有機會通過數據恢復軟件找回部分文件。但目前多數勒索病毒加密後的文件並不能直接找回。此外,很多勒索病毒加密文件時為了保證效率,只加密文件頭部固定大小的數據,所以部分數據庫有機會通過數據修復的方法進行恢復。但該方法並不能保證能 100% 修復,可能仍有部分數據丟失,其它格式的文件通過該方法恢復的機會則很小。

Q5:勒索病毒是否有傳播性?#

理論上病毒代碼可以帶有任意形式的惡意功能,因此無法保證特定一款勒索病毒不具有傳播性。但就目前實際捕獲到的勒索病毒來看,更多的勒索病毒自身並不具備自主傳播的特徵(WannaCry 是個例外)。然而這並不代表其不會影響到局域網內的其他機器,受影響的機器會有如下幾類情形。

  1. 和被感染機器在同一內網,並與被感染機器共享部分文件夾。由於被感染機器能直接訪問到該文件夾,如果沒有設置適當的權限控制,病毒就能將該共享文件夾加密。自查是否只有共享被加密:win+r 輸入 cmd,然後輸入 net share 回車。即可看到當前設備共享了哪些文件夾。

也可通過計算機管理查看:

image-20231009142716922

對於自行添加的共享文件夾,可以調整權限,如果沒有使用需求的,可以直接關閉共享。

  1. 黑客利用被感染機器作為跳板,嘗試通過掃描同網段端口、查看遠程桌面登錄記錄 、Nday 漏洞攻擊等方式攻擊內網其他機器。

Q6:文件已被加密,但掃不出病毒?#

勒索病毒受害者經常在發現中毒後第一時間會使用殺毒軟件進行查殺,但殺毒軟件卻沒有查殺到可疑文件,這種現象很常見,也有很多種可能情況:

  • 大部分情況下,勒索病毒在加密完文件後便會自刪除,留下被加密的文件,而被加密文件不帶毒。

  • 黑客將勒索提示信息寫入到開機啟動項,用戶關機重啟後會彈出勒索窗口,那是黑客留下的勒索提示信息文檔,用來指導用戶如何聯繫他們支付贖金恢復文件。一般只是文檔,本身並不具備加密功能,也不是病毒。

  • 本機並非被勒索病毒直接感染機器,僅因和中毒機器進行了文件共享導致共享文件夾被加密。這種勒索病毒程序是在其它設備中的,當然計算機中沒有病毒。

Q7:勒索病毒是否會在內網中橫向轉播?#

大部分黑客在投毒之前會先嘗試拿到內網中更多機器的權限,手段不限,常見手段如下:

  • 弱口令攻擊

包括遠程桌面弱口令、數據庫弱口令、tomcat 弱口令、共享文件夾弱口令等等。

  • 漏洞攻擊

如永恆之藍相關漏洞、java 漏洞、weblogic 漏洞、泛微 OA 漏洞等等。

  • 非主動傳播

中毒機器所在內網中存在部分機器設置了共享文件夾,並且未設置訪問權限,導致中毒機器能直接訪問到該機器的文件,從而導致文件被加密。因此,內網中中毒機器應及時斷網,找到中毒原因後再做處理。同時應立即修改內網中所有機器的密碼,因為黑客登錄用戶機器後都會嘗試收集內網中其他機器的口令。

Q8:插入 U 磁碟文件被加密了,那文件還能備份嗎?#

插入 U 磁碟,U 磁碟中的文件被加密了,說明勒索病毒還在系統中運行。需要結束掉該勒索病毒。被加密的文件本身不帶病毒。只需防範好 U 磁碟蠕蟲的運行,就可以放心備份到其他地方。

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。