勒索病毒应急措施及防护方案

日期:2022-01-05 / 人气: / 来源:未知

 

        随着国家在政府、企业、教育及医疗等行业“互联网+”战略的不断推进,各个行业在逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮过程中,也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难,疯狂敛财,影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施,成为勒索病毒攻击的目标。
       勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒 索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
      为帮助更多的朋友在中了勒索病毒后,能够正确处置并及时采取必要的自救措施,阻止损失扩大。同时为了建立更有效的防护措施避免勒索病毒的攻击。本文介绍一些相关的应急处置办法和防护方案,希望能对广大朋友有所帮助。
     1.2019上半年勒索病毒攻击态势
     
2019 年上半年共监控到受勒索病毒攻击的计算机 225.6 万台,处理反勒索申诉案件超过 1500 例。从攻击情况和威胁程度上看,勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面,勒索病毒威胁也已深入人心,成为企业最为担忧的安全问题。
     观察勒索病毒影响的行业,以传统行业与教育行业受害最为严重,互联网,医疗,企事业单位紧随其后。 2019上半年,勒索病毒的感染量一直稳定,累计被攻击的计算机超过250万台,时间分布上以2019年1月份最为活跃,2月到6月整体较为平稳,近期略有上升趋势。
     2.勒索病毒产业链
     
随着勒索产业的迅速发展壮大,通过围绕数据加密,数据泄露,乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点,深受黑产青睐。其中典型的勒索病毒作案实施过程如下,一次完整的勒索可能涉及5个角色(一人可能充当多个角色)。
     勒索病毒作者:负责勒索病毒编写制作,与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码,接受病毒定制,或出售病毒生成器的方式,与勒索者进行合作拿取分成。
     勒索者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到自己的专属病毒,与勒索病毒作者进行收入分成。
     传播渠道商:帮助勒索者传播勒索病毒,最为熟悉的则是僵尸网络,例Necurs、Gamut,全球有97%的钓鱼邮件由该两个僵尸网络发送。
     解密代理:向受害者假称自己能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但实际上与勒索者进行合作,在其间赚取差价。从世界范围内看,勒索病毒产业链养活了大量从事解密代理的组织,这些人直接购买搜索关键字广告,让勒索病毒受害企业通过他们完成解密交易,解密代理充当了中间人的角色,从中获取大量利。受害者:通过勒索病毒各种传播渠道不幸中招的受害者,如有重要文件被加密,则向代理或勒索者联系缴纳赎金解密文件。
     3.病毒勒索五大形式
      数据加密勒索:这种方式是当前受害群体最多、社会影响最广,勒索犯罪中最为活跃的表现形式,该方式通过加密用户系统内的重要资料文档,数据,再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者,该黑产团伙在运营短短一年多的时间内,非法敛财20亿美元,该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转,在我国境内制造了大量GandCrab病毒感染事件。
      系统锁定勒索:该形式勒索与数据加密勒索有着极大的相似性,在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件,而是通过修改系统引导区,篡改系统开机密码等手段将用户系统锁定,导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒,将病毒捆绑在破解工具、激活工具、游戏外挂中,欺骗用户通过论坛,网盘,下载站等渠道传播。
     数据泄漏勒索:该类型勒索通常情况针对企业实施,黑客通过入侵拿到企业内相关机密数据,随后敲诈企业支付一定金额的赎金,黑客收到赎金后称会销毁数据,否则将进入撕票流程,在指定时间将企业机密数据公开发布,以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失,也会为极大的负面影响。
     诈骗恐吓式勒索:此类型勒索与企业数据泄露造成的勒索有着相似点,针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据,他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。此类勒索者会大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心理实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,容易陷入圈套,从而受骗缴纳赎金。
      破坏性加密数据掩盖入侵真相在部分涉及各行业重要数据,各国家机密数据的染毒场景中,有时也会发现一些不同于感染传统勒索病毒的案例。区别在于,观察此类染毒环境中可发现,病毒对部分文件会进行多次加密,甚至对文件进行了无法修复的破坏,且病毒不做白名单过滤,极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏,而不在于图财。部分黑客组织在实施APT攻击、窃取企业数据之后,为消除痕迹,会进一步投递破坏性的勒索病毒,将用户资料加密,部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制,让这些攻击行动变得较为常见,从而有利于黑客组织掩盖真实攻击意图。
       4.勒索病毒入侵过程
      
病毒入侵的本质:虽病毒类型各异,但从病毒入侵的过程是存在共性的,这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程,一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。
      “杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,该理论也可以用来反制此类攻击(即反杀伤链)。这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑,一步步实行盗窃计划最终卷赃逃逸。
      5.勒索病毒中毒特征
      
首先如何判断服务器中了勒索病毒呢?勒索病毒区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的收益极高,所以大家才称之为“勒索病毒”。
      勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。
      6.勒索病毒自救措施
      
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。
      正确处置方法
      
(一) 隔离中招主机
     当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
     物理隔离物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。访问控制访问控制常用的操作方法是加策略和修改登录密码。加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
    有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
   另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
  当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
    (二) 排查业务系统
    
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
   业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
   另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
   所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
    (三) 联系专业人员
    
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
    错误的处置方法
    
(一) 使用移动存储设备
   当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
   (二) 读写中毒主机上的磁盘文件
   
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
   外中了勒索病毒后还可以访问“拒绝勒索软件”网站,使用该网站提供的一些解密工作进行解密工作。该网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室和英特尔公司(英特尔安全)网络保安全公司所推动的计划,旨在帮助勒索软件的受害者重新取回其加密数据,而无需支付赎金。
   注意:该网站提供的解密密钥仅仅限于已经被破解或被各国执法机构查获的勒索病毒密钥。因此只能做为一个参考,最重要的工作还是做好日常的防护工作。
   7.勒索病毒立体防护解决方案
   
使用单一的安全产品或是单一的技术手段(如防火墙、IPS、杀毒软件)在面对勒索病毒的入侵时,往往面临“时效、单点、溯源”三大核心问题。一旦某一点被突破,特别是新型的病毒,则会直接碰触到业务系统及数据。为此勒索病毒防护必须依赖于全面的防护思路,通过多层、多维的防护措施,构建完整立体的病毒防护体系。
   第一道防线利用防火墙、上网行为管理等拦截侦查跟踪、武器构建、载荷投送三个阶段的攻击;
   第二道防线利用WAF防火墙、反垃圾邮件系统、漏洞扫描、终端安全系统、堡垒机以及流量分析系统来拦截漏洞利用、安装植入、命令与控制三个阶段的攻击;
   第三道防线最后使用数据备份系统建立最后的保障,以确保万一被黑客目标达成攻击后,可以使用备份的数据用以恢复业务系统的运行。注:备份是防止勒索病毒最后的保障,也是最重要的手段。做备份以注意以下几点:A、备份文件不要保存在本机上(否则病毒会将你的备份文件同时加密)。安全备份的原则是321原则,即保存三份数据副本,存储在两种不同的介质上,其中一份在异地。B、不要采用同步复制的方式(不然被加密的文件也会同步复制过覆盖原备份文件)。同步复制的方式固然可以将损失减少到最小,但一般只针对硬件故障,对于病毒、人为因素等逻辑错误无法恢复。

作者:上海苏越网络


Go To Top 回顶部