前言
在应急中也会经常看到勒索软件的身影,这是可以给攻击者带来直接利益的方式。本篇文章就来看看当遇到勒索软件时如何进行应急处理。
由于本人水平有限,文章中可能会出现一些错误,欢迎各位大佬指正,感激不尽。如果有什么好的想法也欢迎交流~~
勒索病毒简介
勒索病毒是伴随数字货币兴起的一种新型病毒木马,机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且受害者无法读取原本正常的文件,从而造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件。绝大多数勒索病毒均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。攻击者正是通过这样的行为向受害者勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
常见勒索病毒种类
(1)LockBit:LockBit于 2019 年 9 月首次以 ABCD勒索软件的形式出现,2021年发布2.0版本,相比第一代,LockBit 2.0号称是世界上最快的加密软件,加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型,并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力(加密和窃取数据),据作者介绍和情报显示LockBi3.0版本已经诞生,并且成功地勒索了很多企业。
(2)Gandcrab/Sodinokibi/REvil:REvil勒索软件操作,又名Sodinokibi,是一家臭名昭著的勒索软件即服务 (RaaS) 运营商,可能位于独联体国家(假装不是老毛子)。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现,并且是暗网上最多产的勒索软件之一,其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。(2021年暂停止运营,抓了一部分散播者)。
(3)Dharma/CrySiS/Phobos:Dharma勒索软件最早在 2016 年初被发现, 其传播方式主要为 RDP 暴力破解和钓鱼邮件,经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处,故怀疑这几款勒索软件的 作者可能是同一组织。
(4)Globelmposter(十二生肖):Globelmposter又名十二生肖,十二主神,十二…他于2017年开始活跃,2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分,比如国内最常见的一个攻击者邮箱为China.Helper@aol.com
(5)WannaRen(已公开私钥):WannaRen勒索家族的攻击报道最早于2020年4月,通过下载站进行传播,最终在受害者主机上运行,并加密几乎所有文件;同时屏幕会显示带有勒索信息的窗口,要求受害者支付赎金,但WannaRen始终未获得其要求的赎金金额,并于几天后公开密钥。
(6)Conti:Conti勒索家族的攻击最早追踪到2019年,作为“勒索软件即服务(RaaS)”,其幕后运营团伙管理着恶意软件和Tor站点,然后通过招募合作伙伴执行网络漏洞和加密设备。在近期,因为分赃不均,合作伙伴多次反水,直接爆料攻击工具、教学视频、以及部分源代码。
(7)WannaCry:WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播,WannaCry的出现也为勒索病毒开启了新的篇章。
(8)其他家族:当然,勒索病毒的家族远远不止如此。
勒索病毒常见利用漏洞
勒索病毒常用利用一些已知的漏洞快速传播,
![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科解读勒索病毒以及应急流程](https://www.anquan114.com/wp-content/uploads/2024/09/20240920111447882-image.jpg)
下面是一些经常使用的漏洞
![图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科解读勒索病毒以及应急流程](https://www.anquan114.com/wp-content/uploads/2024/09/20240920111431868-image.jpg)
如何判断是何种类型的勒索病毒
(1)通过加密格式来判断
(2)通过桌面的形式来判断
(3)通过勒索者的邮箱来判断家族
(4)通过勒索者留下的勒索信为例
(5)通过微步云沙箱/威胁情报/暗网论坛
勒索病毒的解密方式
1)入侵攻击者的服务器,获取加密密钥,然后解密。该方式难度高
2)勒索病毒加密算法设计存在问题,可以通过缺陷进行解密。如2018年年底的“微信支付”勒索病毒,加密密钥存放在了本地,故很快被破解
3)暴力破解密钥
4)支付赎金(不建议)
下面是常见的一些可解密的勒索病毒
![图片[3]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科解读勒索病毒以及应急流程](https://www.anquan114.com/wp-content/uploads/2024/09/20240920111147171-image.jpg)
常用网站
勒索病毒搜索引擎
360:http://lesuobingdu.360.cn
腾讯:https://guanjia.qq.com/pr/ls
启明:https://lesuo.venuseye.com.cn
奇安信:https://lesuobingdu.qianxin.com
深信服:https://edr.sangfor.com.cn/#/information/ransom_search
解密工具集
腾讯哈勃:https://habo.qq.com/tool
金山毒霸:http://www.duba.net/dbt/wannacry.html
火绒:http://bbs.huorong.cn/forum-55-1.html
瑞星:http://it.rising.com.cn/fanglesuo/index.html
Nomoreransom:https://www.nomoreransom.org/zh/index.html
MalwareHunterTeam:https://id-ransomware.malwarehunterteam.com
卡巴斯基:https://noransom.kaspersky.com
Avast:https://www.avast.com/zh-cn/ransomware-decryption-tools
Emsisoft:https://www.emsisoft.com/ransomware-decryption-tools/free-download
Github勒索病毒解密工具收集汇总:https://github.com/jiansiting/Decryption-Tools
勒索病毒常规处置方式
下面来看看当面临勒索病毒时,如何进行处置
1.隔离被感染的服务器/主机
为了防止病毒的传播,发现勒索病毒的第一时间应该隔离被感染的服务器/主机。
在确认服务器/主机感染勒索病毒后,应立即隔离被感染服务器/主机,防止病毒继续感染其他服务器/主机。隔离可主要采取以下两种手段:
(1)物理隔离主要为断网或断电,关闭服务器/主机的无线网络、蓝牙连接等,禁用网卡,并拔掉服务器/主机上的所有外部存储设备;
(2)访问控制主要是指对访问网络资源的权限进行严格认证和控制,常用的操作方法是加策略和修改登录密码。
2.排查业务系统
业务系统的受影响程度直接关系着事件的风险等级。在隔离被感染服务器/主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。另外,备份系统如果是安全的,就可以避免支付赎金,顺利恢复文件。
因此,在确认服务器/主机感染勒索病毒,并确认已经将其隔离的情况下,应立即对核心业务系统和备份系统进行排查。
注意,在完成以上基本操作后,为了避免造成更大的损失,建议在第一时间联系专业技术人员或安全从业人员,对勒索病毒的感染时间、传播方法、感染种类等问题进行系统排查。
3.确定勒索病毒种类
勒索病毒在感染服务器/主机后,攻击者通常会留下勒索提示信息。受害者可以先从被加密的磁盘目录中寻找勒索提示信息,一些提示信息中会包含勒索病毒的标识,由此可直接判断本次感染的是哪一类勒索病毒,再通过勒索病毒处置工具查看是否能够解密。
4.溯源分析
溯源分析一般需要查看服务器/主机上保留的日志和样本。通过日志可以判断出勒索病毒可能通过哪种方法侵入服务器/主机,如果日志被删除,就需要在服务器/主机上寻找相关的病毒样本或可疑文件,再通过这些可疑文件判断病毒的入侵途径。当然,也可以直接使用专业的日志分析工具或联系专业技术人员进行日志及样本分析。
5.恢复数据和业务
在服务器/主机上如果存在数据备份,那么可以通过还原备份数据的方式直接恢复业务;如果没有数据备份,那么在确定是哪种勒索病毒之后,可通过查找相应的解密工具进行数据恢复;如果数据比较重要,并且业务急需恢复,还可以尝试使用以下方法:
(1)使用磁盘数据恢复手段,恢复被删除的文件;
(2)向第三方解密中介、安全公司寻求帮助。
防护建议
1)服务器、终端防护
(1)所有服务器、终端应强行实施复杂密码策略,杜绝弱密码;
(2)杜绝使用通用密码管理所有机器;
(3)安装杀毒软件、终端安全管理软件,并及时更新病毒库;
(4)及时安装漏洞补丁;
(5)服务器开启关键日志收集功能,为安全事件的追踪溯源提供支撑。
2)网络防护与安全监测
(1)对内网的安全域进行合理划分,各个安全域之间严格限制访问控制列表(ACL),限制横向移动的范围;
(2)重要业务系统及核心数据库应设置独立的安全区域,并做好区域边界的安全防御工作,严格限制重要区域的访问权限,并关闭Telnet、Snmp等不必要、不安全的服务;
(3)在网络内架设IDS/IPS设备,及时发现、阻断内网的横向移动行为;
(4)在网络内架设全流量记录设备,以发现内网的横向移动行为,并为追踪溯源提供支撑。
3)应用系统防护及数据备份
(1)需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控;
(2)对业务系统及数据进行及时备份,并定期验证备份系统及备份数据的可用性;
(3)建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用,同时,需要做好备份系统与主系统的安全隔离工作,避免主系统
总结
应对勒索病毒最好的方法就是定时对重要文件进行备份,这样及时中了勒索病毒也可以进行快速的恢复。
参考链接
https://blog.csdn.net/m0_60571842/article/details/137565427
https://xie.infoq.cn/article/318ab14ac35a914f45c8044fe
https://guanjia.qq.com/news/n1/2441.html
来源公众号:信安路漫漫
暂无评论内容