应急响应勒索病毒自救手册2.0

1 勒索病毒应急响应 自救手册2.0 2 编写说明 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法读取原本正常的文件，对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件，绝大多数勒索软件均无法通过技术手段解密，必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付，一般无法溯源，因此危害巨大。 自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。近期爆发的Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。 为帮助更多的政企机构，在遭遇网络安全事件时，能够正确处置突发的勒索病毒，及时采取必要的自救措施，阻止损失扩大，为等待专业救援争取时间。奇安信集团安服团队结合1000余次客户现场救援的实践经验，整理了《勒索病毒应急响应自救手册》，希望能对广大政企客户有所帮助。 3 目 录 第一章 常见勒索病毒种类介绍 ....................................................................................... 5 一、 WANNACRY勒索 ..................................................................................................................... 5 二、 GLOBEIMPOSTER勒索 .............................................................................................................. 6 三、 CRYSIS/DHARMA勒索 ............................................................................................................. 6 四、 GANDCRAB勒索 ..................................................................................................................... 7 五、 SATAN勒索 .......................................................................................................................... 8 六、 SACRAB勒索 ......................................................................................................................... 9 七、 MATRIX勒索 ....................................................................................................................... 10 八、 STOP勒索 ........................................................................................................................ 11 九、 PARADISE勒索 ................................................................................................................. 11 第二章 如何判断病情 ................................................................................................... 14 一、 业务系统无法访问 .......................................................................................................... 14 二、 电脑桌面被篡改 .............................................................................................................. 14 三、 文件后缀被篡改 .............................................................................................................. 15 第三章 如何进行自救 ................................................................................................... 17 一、 正确处置方法 .................................................................................................................. 17 二、 错误处置方法 .................................................................................................................. 18 第四章 如何恢复系统 ................................................................................................... 20 一、 历史备份还原 .................................................................................................................. 20 二、 解密工具恢复 .................................................................................................................. 20 三、 专业人员代付 .................................................................................................................. 20 四、 重装系统 ......................................................................................................................... 21 第五章 如何加强防护 ................................................................................................... 22 一、 终端用户安全建议 .......................................................................................................... 22 4 二、 政企用户安全建议 .......................................................................................................... 22 附录1：勒索病毒已知被利用漏洞合集 .............................................................................. 24 附录2：奇安信安全服务团队 ............................................................................................. 25 附录3：奇安信虚拟化安全管理系统 .................................................................................. 26 附录4：奇安信天擎敲诈先赔服务 ..................................................................................... 27 附录5：奇安信安全监测与响应中心 .................................................................................. 28 5 第一章 常见勒索病毒种类介绍 自2017年“永恒之蓝”勒索事件之后，勒索病毒愈演愈烈，不同类型的变种勒索病毒层出不穷。 勒索病毒传播素以传播方式快，目标性强著称，传播方式多见于利用“永恒之蓝”漏洞、爆破、钓鱼邮件等方式传播。同时勒索病毒文件一旦被用户点击打开，进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。所以，加强对常见勒索病毒认知至关重要。如果在日常工作中，发现存在以下特征的文件，需务必谨慎。由于勒索病毒种类多至上百种，因此特整理了近期流行的勒索病毒种类、特征及常见传播方式，供大家参考了解： 一、 WannaCry勒索 2017年5月12日，WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元。WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示需要支付相应赎金方可解密。  常见后缀：wncry  传播方式：永恒之蓝漏洞  特征： 启动时会连接一个不存在url 创建系统服务mssecsvc2.0 释放路径为Windows目录 6 二、 GlobeImposter勒索 2017年出现，2018年8月21日起，多地发生GlobeImposter勒索病毒事件，攻击目标主要是开始远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密多个版本更新，并常通过爆破RDP后手工投毒传播，暂无法解密。  常见后缀：auchentoshan、动