勒索病毒防范措施與應急響應指南

陸英

關于勒索病毒，很多朋友經常會問這樣的問題：

企業還沒有中勒索，但領導很害怕，該如何防范，有哪些建議和指導？

企業已經中了勒索，該如何快速進行應急響應，有哪些建議和指導？

作為一名安全應急響應人員，該如何處理勒索病毒，給客戶提供哪些勒索病毒防范措施和應急響應指導呢？企業要做好安全防護，主要從以下幾個方面入手：

（1）部署可靠高質量的防火墻、安裝防病毒終端安全軟件，檢測應用程序、攔截可疑流量，使防病毒軟件保持最新，設置為高強度安全防護級別，使用軟件限制策略防止未經授權的應用程序運行。

（2）及時更新電腦上的終端安全軟件，修復最新的漏洞。

（3）關閉不必要的端口，目前發現的大部分勒索病毒通過開放的RDP端口進行傳播，如果業務上無需使用RDP，建議關閉RDP。

（4）培養員工的安全意識，這點非常重要，如果企業員工不重視安全，遲早會出現安全問題，安全防護的重點永遠在于人，人是最大的安全漏洞，企業需要不定期給員工進行安全教育的培訓，與員工一起開展安全意識培訓、檢查和討論。

設置高強度的密碼，不定期進行密碼更新，避免使用統一的密碼，統一的密碼會導致企業多臺電腦被感染的風險，此前一個企業，內網的密碼都使用同一個，導致企業內部多臺電腦被勒索加密。

所有的軟件都由IT部門統一從正規的網站進行下載，進行安全檢測之后，再分發給企業內部員工，禁止員工自己從非正規的網站下載安裝軟件。

企業內部使用的office等軟件，要進行安全設置，禁止宏運行，避免一些惡意軟件通過宏病毒的方式感染主機。

從來歷不明的網站下載的文檔，要經過安全檢測才能打開使用，切不可直接雙擊運行。

謹慎打開來歷不明的郵件，防止被郵件釣魚和垃圾郵件攻擊，不要隨便點擊郵件中的不明附件、快捷方式或網站鏈接等，防止網頁掛馬和利用漏洞攻擊。

不定期進行安全攻防演練、模擬攻擊等，讓員工了解黑客有哪些攻擊手法。

給員工進行勒索病毒感染實例講解，用真實的勒索病毒樣本，進行模擬感染攻擊，讓員工了解勒索病毒的危害。

（5）養成良好的備份習慣，對重要數據和文檔進行定期非本地備份，使用移動存儲設備保存關鍵數據，定期測試保存的備份數據是否完整可用。

勒索病毒的特征一般都很明顯，會加密磁盤的文件，并在磁盤相應的目錄生成勒索提示信息文檔或彈出相應的勒索界面，如果發現文檔和程序無法打開，磁盤中的文件被修改，桌面壁紙被替換，甚至出現提示相應的勒索信息，要求支付一定的贖金才能解密，說明你的電腦中了勒索病毒。

企業中了勒索病毒后的應急方法，主要從以下幾個方面入手：

（1）隔離被感染的服務器主機

拔掉中毒主機網線，斷開主機與網絡的連接，關閉主機的無線網絡WiFi和藍牙連接等，并拔掉主機上的所有外部存儲設備。

（2）確定被感染的范圍

查看主機的所有文件夾、網絡共享文件目錄、外置硬盤、USB驅動器以及主機云存儲中的文件等，是否已經全部被加密了。

（3）確定是被哪個勒索病毒家族感染的，在主機上進行溯源分析，查看日志信息。

主機被勒索病毒加密之后，會在主機上留下一些勒索提示信息，可以先去加密后的磁盤目錄找到勒索提示信息，有些勒索提示信息有這款勒索病毒的標識，顯示是哪一種勒索病毒，比如GandCrab的勒索提示信息，最開始都標明了是哪一個版本的GandCrab勒索病毒，可以先找勒索提示信息，再進行溯源分析。

溯源分析一般通過查看主機上保留的日志信息以及主機上保留的樣本信息，通過日志判斷此勒索病毒可能是通過哪種方式進來的。比如發現文件被加密前某個時間段有大量的RDP爆破日志，并成功通過遠程登錄過主機，然后在主機的相應目錄發現了病毒樣本，猜測這款勒索病毒可能是通過RDP進來的。如果日志被刪除了，就只能去主機上找相關的病毒樣本或可疑文件，通過這些可疑文件來猜測可能是通過哪種方式進來的。例如有些可能是通過銀行類木馬下載傳播的，有些是通過遠控程序下載傳播的，有些是通過網頁掛馬方式傳播的，還可以去主機的瀏覽器歷史記錄中尋找相關的信息。

（4）找到病毒樣本，提取主機日志、進行溯源分析之后，關閉相應的端口、網絡共享并打上相應的漏洞補丁，修改主機密碼，安裝高強度防火墻、防病毒軟件等采用這些措施，防止被二次感染勒索。

（5）進行數據和業務的恢復，如果主機上的數據存在備份，則可以還原備份數據、恢復業務。如果主機上的數據沒有備份，可以在確定是哪種勒索病毒家族之后，到解密工具網站查找相應的解密工具，但遺憾的是，現在大部分流行勒索病毒并沒有解密工具。如果數據比較重要，業務又急需恢復，可以考慮使用以下方式嘗試恢復數據和業務：

通過一些磁盤數據恢復手段，恢復被刪除的文件。

跟一些第三方解密中介或直接通過郵件方式聯系黑客進行協商解密（但不推薦）。可能就是因為現在交錢解密的企業越來越多，導致勒索病毒家族變種越來越多，攻擊越來越頻繁，很多企業中了勒索病毒后就暗地交錢解密了。

現在很多勒索病毒使用郵件或解密網站，要求受害者通過這些網站進行解密操作，都是使用BTC進行交易，而且功能非常完善，下面分析一下最近很流行的Sodinokibi勒索病毒的解密網站：

網站的主機提示你被加密了，需要支持0.24790254的BTC（=2500美元），如果超過了時間限制，則可能需要支付0.49580508的BTC（=5000美元）

黑客還擔心受害者不知道BTC是什么，事實上有些企業中了勒索，想交贖金，但不知道BTC從哪里來，于是黑客就給出了詳細的步驟教受害者如何進行解密，以及如何購買BTC操作等。

黑客還建議受害者通過https：//www.blockchain.com/ explorer網站注冊BTC錢包，購買相應的BTC，再將BTC轉入黑客的BTC錢包帳戶，同時黑客還提示了多種方式可以購買BTC的鏈接，如下所示。

甚至還貼出來了相應的鏈接，指導受害者如何購買BTC的詳細教程等。

同時黑客還怕受害者不相信可以解密，表示可以幫受害者免費解密幾個文件，但不包含大的數據文件，只能是10 MB以下的。

黑客還開通了聊天窗口，受害者可以跟黑客進行溝通協商，討價還價等。

從上面可以看出黑客為了讓受害者交付贖金，做了一個專門的網站進行指導，說明這款勒索病毒背后一定是有一支強大的運營團隊。

不建議企業向黑客支付BTC，也不建議企業找第三方中介解密，因為這樣會促長這個行業的不斷增加，其實現在大部分勒索病毒最終都是無法解密的，請各企業做好相應的防范措施，按上面的一些指導方法和建議進行勒索病毒的防御，勒索病毒的重點在于防御！