亚洲高清毛片一区二区,,,,,,,

勒索病毒防范措施與應(yīng)急響應(yīng)指南

2019年09月27日

這篇文章我將重點(diǎn)講解一下,作為一名安全應(yīng)急響應(yīng)人員,該如何去處理勒索病毒,可以給客戶提供哪些勒索病毒防范措施和應(yīng)急響應(yīng)指導(dǎo)等。

關(guān)于勒索病毒,很多朋友在后臺留言常常會問我這兩個(gè)問題:

0f4c8d190cdf8214169121ff9a35770c.jpg-wh_651x-s_1343880596.jpg

企業(yè)應(yīng)該如何做好安全防護(hù),主要從以下幾個(gè)方面入手:

(1) 部署可靠高質(zhì)量的防火墻、安裝防病毒終端安全軟件,檢測應(yīng)用程序、攔截可疑流量,使防病毒軟件保持最新,設(shè)置為高強(qiáng)度安全防護(hù)級別,還可以使用軟件限制策略防止未經(jīng)授權(quán)的應(yīng)用程序運(yùn)行

(2) 關(guān)注最新的漏洞,及時(shí)更新電腦上的終端安全軟件,修復(fù)最新的漏洞

(3) 關(guān)閉不必要的端口,目前發(fā)現(xiàn)的大部分勒索病毒通過開放的RDP端口進(jìn)行傳播,如果業(yè)務(wù)上無需使用RDP,建議關(guān)閉RDP,以防止黑客通過RDP爆破攻擊

(4) 培養(yǎng)員工的安全意識,這點(diǎn)非常重要,如果企業(yè)員工不重視安全,遲早會出現(xiàn)安全問題,安全防護(hù)的重點(diǎn)永遠(yuǎn)在于人,人也是最大的安全漏洞,企業(yè)需要不定期給員工進(jìn)行安全教育的培訓(xùn),與員工一起開展安全意識培訓(xùn)、檢查和討論:

(5) 養(yǎng)成良好的備份習(xí)慣,對重要的數(shù)據(jù)和文檔進(jìn)行定期非本地備份,可使用移動(dòng)存儲設(shè)置保存關(guān)鍵數(shù)據(jù),同時(shí)要定期測試保存的備份數(shù)據(jù)是否完整可用

勒索病毒的特征一般都很明顯,會加密磁盤的文件,并在磁盤相應(yīng)的目錄生成勒索提示信息文檔或彈出相應(yīng)的勒索界面,如果你發(fā)現(xiàn)你的文檔和程序無法打開,磁盤中的文件被修改,桌面壁紙被替換,提示相應(yīng)的勒索信息,要求支付一定的贖金才能解密,說明你的電腦中了勒索病毒。

企業(yè)中了勒索,該如何應(yīng)急,主要從以下幾個(gè)方面入手:

(1) 隔離被感染的服務(wù)器主機(jī)

拔掉中毒主機(jī)網(wǎng)線,斷開主機(jī)與網(wǎng)絡(luò)的連接,關(guān)閉主機(jī)的無線網(wǎng)絡(luò)WIFI、藍(lán)牙連接等,并拔掉主機(jī)上的所有外部存儲設(shè)備

(2) 確定被感染的范圍

查看主機(jī)中的所有文件夾、網(wǎng)絡(luò)共享文件目錄、外置硬盤、USB驅(qū)動(dòng)器,以及主機(jī)上云存儲中的文件等,是否已經(jīng)全部加密了

(3) 確定是被哪個(gè)勒索病毒家族感染的,在主機(jī)上進(jìn)行溯源分析,查看日志信息等

主機(jī)被勒索病毒加密之后,會在主機(jī)上留上一些勒索提示信息,我們可以先去加密后的磁盤目錄找到勒索提示信息,有些勒索提示信息上就有這款勒索病毒的標(biāo)識,顯示是哪一種勒索病毒,比方GandCrab的勒索提示信息,最開始都標(biāo)明了是哪一個(gè)版本的GandCrab勒索病毒版本,可以先找勒索提示信息,再進(jìn)行溯源分析

溯源分析一般通過查看主機(jī)上保留的日志信息,以及主機(jī)上保留的樣本信息,通過日志可以判斷此勒索病毒可能是通過哪種方式進(jìn)來的,比方發(fā)現(xiàn)文件被加密前某個(gè)時(shí)間段有大量的RDP爆破日志,并成功通過遠(yuǎn)程登錄過主機(jī),然后在主機(jī)的相應(yīng)目錄發(fā)現(xiàn)了病毒樣本,可能猜測這款勒索病毒可能是通過RDP進(jìn)來的,如果日志被刪除了,就只能去主機(jī)上找相關(guān)的病毒樣本或可疑文件,通過這些可疑的文件來猜測可能是通過哪種方式進(jìn)來的,比方有些是能過銀行類木馬下載傳播的,有些是通過遠(yuǎn)控程序下載傳播的,有些是通過網(wǎng)頁掛馬方式傳播的,還可以去主機(jī)的瀏覽器歷史記錄中去找相關(guān)的信息等等

(4) 找到病毒樣本,提取主機(jī)日志,進(jìn)行溯源分析之后,關(guān)閉相應(yīng)的端口、網(wǎng)絡(luò)共享、打上相應(yīng)的漏洞補(bǔ)丁,修改主機(jī)密碼,安裝高強(qiáng)度防火墻,防病毒軟件等措施,防止被二次感染勒索

(5) 進(jìn)行數(shù)據(jù)和業(yè)務(wù)的恢復(fù),如果主機(jī)上的數(shù)據(jù)存在備份,則可以還原備份數(shù)據(jù),恢復(fù)業(yè)務(wù),如果主機(jī)上的數(shù)據(jù)沒有備份,可以在確定是哪種勒索病毒家族之后,查找相應(yīng)的解密工具,解密工具網(wǎng)站可以看我上一篇文章中提到的,事實(shí)上現(xiàn)在大部分流行勒索病毒并沒有解密工具,如果數(shù)據(jù)比較重要,業(yè)務(wù)又急需恢復(fù),可以考慮使用下面方式嘗試恢復(fù)數(shù)據(jù)和業(yè)務(wù):

現(xiàn)在很多勒索病毒都使用郵件或解密網(wǎng)站,要求受害者通過這些網(wǎng)站進(jìn)行解密操作,而且都是使用BTC進(jìn)行交易,而且功能非常完善,下面我們就來分析一下最近很流行的Sodinokibi勒索病毒的解密網(wǎng)站,如下所示:

398d114578eb1d6161378ecf208678cb.jpeg-wh_600x-s_678181210.jpeg

網(wǎng)站的主機(jī)提示你被加密了,需要支持0.24790254的BTC(=2500美元),如果超過了時(shí)間限制,則可能需要支付0.49580508的BTC(=5000美元)

黑客還擔(dān)心受害者不知道BTC是啥,事實(shí)上國內(nèi)有些企業(yè)中了勒索,想交贖金,但不知道BTC從哪里來,于時(shí)黑客就給出了詳細(xì)的步驟教受害者如何進(jìn)行解密,以及如果購買BTC操作等,如下所示:

4d1c8c46285f5d4b18d09c0b4cb5e67d.jpeg-wh_600x-s_3555333552.jpeg

黑客還建議了受害者通過https://www.blockchain.com/explorer這個(gè)網(wǎng)站注冊BTC錢包,然后購買相應(yīng)的BTC,再將BTC轉(zhuǎn)入黑客的BTC錢包帳戶,同時(shí)黑客還提示了使用多種方式可以購買BTC的鏈接,如下所示:

a3a0ea40bd2f4916b1de0bdd2e4141ce.jpeg

還貼出來了相應(yīng)的鏈接,指導(dǎo)受害者如何購買BTC的詳細(xì)教程等等,如下所示:

6fad51344ff8936a35d72f570c4d18ae.jpeg

同時(shí)黑客還怕受害者不相信可以解密,可以幫受害者免費(fèi)解密幾個(gè)文件,但不包含大的數(shù)據(jù)文件,只能是10MB以下的,如下所示:

266c1d7e40528c056693fece1c3e73fd.jpeg-wh_600x-s_2451738823.jpeg

BTC注冊網(wǎng)站:https://www.blockchain.com

BTC購買鏈接:

BTC如何購買:

黑客還開通了聊天窗口,可以跟黑客進(jìn)行溝通協(xié)商,討價(jià)還價(jià)等等,如下所示:

43927006ed82cec3f056b14039826de8.jpeg-wh_600x-s_2583182642.jpeg

從上面可以看出黑客為了讓受害者能交付贖金,做了一個(gè)專門的網(wǎng)站進(jìn)行指導(dǎo),可以看出這款勒索病毒背后一定是有一支強(qiáng)大的運(yùn)營團(tuán)隊(duì)

最后友善提醒:

不建議企業(yè)向黑客支付BTC,也不建議企業(yè)找第三方中介解密,因?yàn)檫@樣會促長這個(gè)行業(yè)的不斷增加,現(xiàn)在大部分勒索病毒無法解密,請各企業(yè)做好相應(yīng)的防范措施,按上面的一些指導(dǎo)方法和建議進(jìn)行勒索病毒的防御,勒索病毒的重點(diǎn)在于防御!

江蘇國駿為您提供全面可信的信息安全服務(wù)

http://nblsxs.com/

免費(fèi)咨詢熱線400-6776-989 

長按二維碼關(guān)注我們


公眾號 (2).png


江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com