關于勒索病毒的應急演練

■ 江蘇 朱賢斌

編者按： 近年來勒索病毒盛行，給個人和企業造成了無可挽回的損失，本文從實戰出發，以實例進行勒索病毒的應急演練，并給出相關防護建議。

從20世界60年代開始，惡意軟件就與信息技術的發展相生相伴。隨著科技的不斷進步，惡意軟件本身也在不斷演變，從蠕蟲病毒、廣告軟件、流氓軟件、木馬軟件，乃至今天的勒索軟件，惡意軟件制作者已從最初的技術炫耀變成了如今直接的利益所取。例如2017年的Wannacry勒索病毒，對受害企業重要數據造成嚴重損失。

網絡黑客使用的系列勒索手段包括：頻繁創建虛假網站，吸引潛在勒索對象游覽；借助網站內釣魚軟件，掃描用戶電腦操作系統及游覽器所含安全漏洞；向用戶電腦內輸送勒索軟件，繼而鎖死電腦或加密數據，要求用戶支付“贖金”，以換取解除鎖定的“密鑰”。

演練目的

圖1 演練網絡拓撲圖

為了讓用戶認識到勒索病毒的危害，所以很有必要還原勒索病毒入侵，以及發生勒索病毒安全事件后，迅速的應急響應和應急處置，通過應急演練，來提高我們的網絡安全意識和技能。

演練環境

筆者此次使用VMware Workstation搭建兩臺虛擬機，模擬攻擊者和被攻擊者，攻擊者使用Kali-Linux系統，被攻擊者使用Windows 7系統。拓撲如圖1所示。

勒索病毒攻擊

1.攻擊者首先使用Nmap端口掃描工具對被攻擊者進行端口掃描和漏洞檢測。經過掃描，此臺虛機開啟了445（SMB） 和 3389（RDP）端口，這些端口屬于易被攻擊的端口。

2.利用Nmap自帶的漏洞檢測腳本對445端口進行掃描,結果顯示存在高危漏洞，漏洞編號MS17-010。

3.該漏洞極易被利用進行遠程控制，使用遠程桌面登錄受控電腦，上傳勒索病毒（詳細過程省略）。

4.本次使用的勒索病毒為 GANDCRAB V5.0.4，運 行之后將文件加密，文件被添加.yqqhahnck后綴，無法正常打開，受控端桌面被替換成勒索信息，并留下索要贖金的.txt文件。

應急響應流程

根據相關技術標準，信息安全事件應急響應工作流程主要有預防預警、事件報告與先期處置、應急處置、應急結束和后期處置。應急響應工作流程如圖2所示。

1. 事件報告與先期處置

勒索病毒事件發生后，相關部門做好先期處置的同時應立即組織研判，并做好信息通報工作。

2.應急處置

勒索病毒屬于有害程序事件，該類事件的應急處置措施，一是及時將被感染的設備與其他設備進行隔離；二是采取有效措施對有害程序清除。通常采取的措施如下：

（1）當發現信息系統感染有害程序時，工作人員應立即對感染的設備或程序進行確認并上報部門領導。情況緊急的，應先采取隔離、清除、暫停等處理措施，再進行事件報告。

（2）在確認受感染的設備后，應立即將該設備與其他設備進行隔離，并對其進行數據備份，同時啟動備用設備保持應用的連續性。

（3）啟用反有害程序系統對設備進行查殺處理，同時對其他設備進行有害程序掃描和清除。清除工作完成后，對各類設備進行安全加固，避免有害程序的再次感染。

圖2 應急響應工作流程圖

圖3 顯示被添加了惡意賬戶hacker

（4）如發現反有害程序軟件無法清除的，應立即向本級信息安全主管部門報告，情況嚴重的，應根據信息安全事件級別及時向上級主管部門匯報。

（5）在確認病毒、蠕蟲等有害程序被徹底根除之后，可恢復系統運行。如果已啟用備用設備的，應切換回原設備。

（6）如果受感染設備是主服務器并被多家單位和用戶訪問過，在報上級主管部門批準后，信息系統主管部門應履行通告義務，告知各相關單位開展有害程序掃描和清查工作。

根據以上工作流程，本次演練作如下應急處置：

首先將受控端斷開網絡連接，并逐一登錄同網段其他服務器，確認是否感染勒索病毒，并緊急啟動備份服務器，將數據恢復至最近備份狀態。

然后對受控端進行排查：

對受控端進行全盤病毒掃描，發現存在惡意程序；

檢查系統帳號，發現被添加了惡意賬戶hacker，如圖3所示；

查看受控端的日志，發現攻擊者登錄記錄，如圖4所示；

檢查受控端的進程，存在勒索病毒惡意進程HQnew.exe，如圖5所示；

檢查受控端是否存在高危漏洞、賬戶弱口令等安全風險，發現存在Windows遠程命令執行漏洞，漏洞編號為MS17-010；

對勒索病毒進行分析，確認勒索病毒類型為GandCrab5.0.2版本，該病毒目前無法解密，如圖6所示。

再對受控端進行安全加固：

使用殺毒軟件清除服務器上殘留的病毒程序；

關 閉 445、135、137、138、139 等不必要的端口，關閉網絡共享，關閉Workstation等服務；

修改管理員密碼為高強度的復雜密碼，重命名系統管理員帳戶；

安裝操作系統補丁MS17-010；

使用漏掃工具和基線核查工具對受控端進行安全掃描，根據報告，進一步做安全加固，確保沒有高、中、低危漏洞和安全配置缺陷。

3.應急結束和后期處置

當信息安全事件得到妥善處置后，可按照程序結束應急響應。對此次勒索病毒事件進行總結，從管理角度和技術角度來預防勒索病毒事件的發生。

圖4 在受控端日志中發現攻擊者登錄記錄

圖5 發現存在勒索病毒惡意進程HQnew.exe

圖6 顯示該病毒目前無法解密

應及時對系統進行安全掃描，并及時更新操作系統補丁；嚴格管理第三方軟件的使用，并保證及時更新；加強對系統的監控、審計與管理；定期對上傳的Web網頁文件進行比對，包括文件的創建、更新時間、文件大小等；定期維護升級網站服務器，檢查服務器所存在的漏洞和安全隱患；使用U盤等移動存儲設備進行數據交換前要先進行病毒檢查，同時禁用U盤的自動播放功能；定期做好系統和重要數據的備份。

建議

在平時使用計算機過程中，怎樣有效的免遭勒索病毒的攻擊，給出以下建議：

1.養成良好的習慣

計算機必須安裝殺毒和安全防護軟件，安全軟件提示的各類風險行為不要輕易放行；定期更新病毒庫，及時更新系統補丁和第三方應用軟件；使用高強度的復雜密碼，包括英文字母、數字、特殊字符的組合，定期更換密碼，不同賬戶使用不同的密碼；重要文件及時備份，定期做全備，適時做增備。

2.減少危險的上網操作

不要游覽不良信息網站，這些網站經常會掛馬或釣魚；不要輕易打開陌生人發來的電子郵件，或訪問不明的網絡鏈接；不要輕易打開后綴名為 js、vbs、wsf、bat等腳本文件和exe、scr等可執行程序，在網絡上接收的文件，先殺毒再打開。