勒索病毒应急与响应手册.pdf

勒 索 病 毒 应 急 与 响 应 手 册V1.0 杭 州 安 恒 信 息 技 术 股 份 有 限 公 司二 一 九 年 三 月 勒 索 病 毒 应 急 与 响 应 手 册 i 前 言勒 索 病 毒 主 要 以 邮 件 、 程 序 木 马 、 网 页 挂 马 的 形 式 进 行 传 播 ， 利 用 各 种 非 对 称加 密 算 法 对 文 件 进 行 加 密 ， 被 感 染 者 一 般 无 法 解 密 ， 必 须 拿 到 解 密 的 私 钥 才 有 可 能破 解 。 勒 索 病 毒 性 质 恶 劣 、 危 害 极 大 ， 一 旦 感 染 将 给 用 户 带 来 无 法 估 量 的 损 失 。勒 索 病 毒 文 件 一 旦 进 入 本 地 ， 就 会 自 动 运 行 。 接 下 来 ， 勒 索 病 毒 利 用 本 地 的 互联 网 访 问 权 限 连 接 至 黑 客 的 C&C 服 务 器 ， 进 而 上 传 本 机 信 息 并 下 载 加 密 公 钥 ， 利 用加 密 公 钥 对 文 件 进 行 加 密 。 除 了 拥 有 解 密 私 钥 的 攻 击 者 本 人 ， 其 他 人 是 几 乎 不 可 能解 密 。 加 密 完 成 后 ， 通 常 还 会 修 改 壁 纸 ， 在 桌 面 等 明 显 位 置 生 成 勒 索 提 示 文 件 ， 指导 用 户 去 缴 纳 赎 金 。 勒 索 病 毒 变 种 类 型 非 常 快 ， 对 常 规 的 杀 毒 软 件 都 具 有 免 疫 性 。攻 击 的 样 本 以 exe、 js、 wsf、 vbe 等 类 型 为 主 ， 对 常 规 依 靠 特 征 检 测 的 安 全 产 品 是一 个 极 大 的 挑 战 。 勒 索 过 程 如 下 ： 本 手 册 第 1章 详 述 如 何 判 断 是 否 已 感 染 勒 索 病 毒 ， 是 否 已 被 加 密 ； 第 2章 详 述当 主 机 处 于 不 同 的 中 毒 阶 段 时 ， 从 基 础 措 施 和 高 级 措 施 方 向 上 ， 分 别 应 如 何 进 行 应急 响 应 ； 第 3章 介 绍 对 于 已 加 密 系 统 的 五 种 处 理 方 式 ， 重 要 文 件 需 要 恢 复 应 分 别 尝试 备 份 还 原 、 解 密 、 数 据 恢 复 、 支 付 解 密 ， 价 值 较 低 的 文 件 可 直 接 重 装 系 统 ， 并 进行 主 机 加 固 ； 第 4章 详 述 如 何 进 行 勒 索 病 毒 的 防 治 建 议 ， 包 括 五 个 基 础 措 施 和 应 用终 端 检 测 与 响 应 （ EDR） 产 品 。通 过 应 用 本 手 册 ， 在 不 同 阶 段 及 时 做 出 响 应 ， 尽 可 能 避 免 或 降 低 损 失 。 勒 索 病 毒 应 急 与 响 应 手 册 ii 目 录第 一 章 判 断 当 前 状 态 .1一 感 染 未 加 密 .1二 感 染 已 加 密 .2第 二 章 响 应 当 前 状 态 .4一 基 础 响 应 措 施 .4二 高 级 响 应 措 施 .5第 三 章 已 加 密 系 统 的 处 理 办 法 .7一 备 份 还 原 .7二 解 密 工 具 .7 三 数 据 恢 复 .7四 支 付 解 密 .7五 重 装 系 统 .8第 四 章 勒 索 病 毒 的 防 治 建 议 .9一 基 础 防 护 措 施 及 建 议 .9二 边 界 网 络 检 测 建 议 .10三 终 端 防 护 建 议 ： 终 端 检 测 与 响 应 （ EDR） .12四 技 术 支 持 ： 安 恒 信 息 安 全 服 务 .13五 工 控 环 境 的 适 用 性 .15六 勒 索 保 险 .16 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 1 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 第 一 章 判 断 当 前 状 态一 感 染 未 加 密从 攻 击 者 渗 透 进 入 内 部 网 络 的 某 一 台 主 机 到 执 行 加 密 行 为 往 往 有 一 段 时 间 ， 如果 在 这 段 时 间 能 够 做 出 响 应 ， 完 全 可 以 避 免 勒 索 事 件 的 发 生 。 如 果 有 以 下 情 况 ， 可能 是 处 于 感 染 未 加 密 状 态 ：1 监 测 设 备 告 警如 果 使 用 了 监 测 系 统 进 行 流 量 分 析 、 威 胁 监 测 ， 系 统 产 生 大 量 告 警 日 志 ， 例 如“ SMB远 程 溢 出 攻 击 ” 、 “ 弱 口 令 爆 破 ” 等 ， 可 能 是 病 毒 在 尝 试 扩 散 。 2 资 源 占 用 异 常病 毒 会 伪 装 成 系 统 程 序 ， 释 放 攻 击 包 、 扫 描 局 域 网 络 445端 口 等 占 用 大 量 系 统 资源 ， 当 发 现 某 个 疑 似 系 统 进 程 的 进 程 在 长 期 占 用 CPU或 内 存 ， 有 可 能 是 感 染 病 毒 。 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 2 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 二 感 染 已 加 密勒 索 病 毒 的 目 的 是 索 要 赎 金 ， 所 以 会 加 密 文 件 并 在 明 显 位 置 留 下 勒 索 信 ， 通 过 这两 点 可 以 判 断 系 统 是 否 已 经 被 加 密 。1 统 一 的 异 常 后 缀勒 索 病 毒 执 行 加 密 程 序 后 会 加 密 特 定 类 型 的 文 件 ， 不 同 的 勒 索 病 毒 会 加 密 几 十 到几 百 种 类 型 的 文 件 ， 基 本 都 会 包 括 常 见 的 文 档 、 图 片 、 数 据 库 文 件 。 当 文 件 夹 下 文件 变 成 如 下 统 一 异 常 不 可 用 后 缀 ， 就 是 已 经 被 加 密 了 。 2 勒 索 信 或 桌 面 被 篡 改勒 索 病 毒 加 密 文 件 的 最 终 目 的 是 索 要 赎 金 ， 所 以 会 在 系 统 明 显 位 置 如 桌 面 上 留 下文 件 提 示 ， 或 将 勒 索 图 片 更 改 为 桌 面 。 勒 索 信 绝 大 多 数 为 英 文 ， 引 导 被 勒 索 的 用 户交 赎 金 。 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 3 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 4 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 第 二 章 响 应 当 前 状 态一 基 础 响 应 措 施某 台 主 机 在 感 染 勒 索 病 毒 后 ， 除 了 自 身 会 被 加 密 ， 勒 索 病 毒 往 往 还 会 利 用 这 台 主机 去 攻 击 同 一 局 域 网 内 的 其 他 主 机 ， 所 以 当 发 现 一 台 主 机 已 被 感 染 ， 应 尽 快 采 取 响应 措 施 ， 以 下 基 础 措 施 即 使 不 是 专 业 的 人 员 也 可 以 进 行 操 作 ， 以 尽 可 能 减 少 损 失 。1 隔 离 中 毒 主 机(1) 物 理 隔 离断 网 ， 拔 掉 网 线 或 禁 用 网 卡 ， 笔 记 本 也 要 禁 用 无 线 网 络 。 (2) 逻 辑 隔 离访 问 控 制 、 关 闭 端 口 、 修 改 密 码 。 访 问 控 制 可 以 由 防 火 墙 等 设 备 来 设 置 ， 禁 止 已感 染 主 机 与 其 他 主 机 相 互 访 问 ； 视 情 况 关 闭 135、 139、 445、 3389 等 端 口 ， 避 免 漏洞 被 或 RDP（ 远 程 桌 面 服 务 ） 被 利 用 ； 尽 快 修 改 被 感 染 主 机 与 同 一 局 域 网 内 的 其 他 主机 的 密 码 ， 尤 其 是 管 理 员 （ Windows下 的 Administrator， Linux下 的 root） 密 码 ，密 码 长 度 不 少 于 8 个 字 符 ， 至 少 包 含 以 下 四 类 字 符 中 的 三 类 ： 大 小 写 字 母 、 数 字 、特 殊 符 号 ， 不 能 是 人 名 、 计 算 机 名 、 用 户 名 等 。2 排 查 其 他 主 机隔 离 已 感 染 主 机 后 ， 应 尽 快 排 查 业 务 系 统 与 备 份 系 统 是 否 受 到 影 响 ， 确 定 病 毒 影响 范 围 ， 准 备 事 后 恢 复 。 如 果 存 在 备 份 系 统 且 备 份 系 统 是 安 全 的 ， 就 可 以 将 损 失 降到 最 低 ， 也 可 以 最 快 的 恢 复 业 务 。3 主 机 加 固 主 机 感 染 病 毒 一 般 都 是 由 未 修 复 的 系 统 漏 洞 、 未 修 复 的 应 用 漏 洞 或 者 弱 口 令 导 致 ，所 以 在 已 知 局 域 网 内 已 有 主 机 感 染 并 将 之 隔 离 后 ， 应 检 测 其 他 主 机 是 否 有 上 述 的 问题 存 在 。 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 5 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 (1) 系 统 漏 洞 可 以 使 用 免 费 的 安 全 软 件 检 测 并 打 补 丁 。(2) 应 用 漏 洞 可 以 使 用 免 费 的 漏 扫 产 品 （ AWVS、 APPScan等 ） 检 测 并 升 级 或 采 用其 他 方 式 修 复 。(3) 弱 口 令 应 立 即 修 改 ， 密 码 长 度 不 少 于 8 个 字 符 ， 至 少 包 含 以 下 四 类 字 符 中的 三 类 ： 大 小 写 字 母 、 数 字 、 特 殊 符 号 ， 不 能 是 人 名 、 计 算 机 名 、 用 户 名 等 。二 高 级 响 应 措 施基 础 措 施 可 以 一 定 程 度 上 响 应 勒 索 事 件 ， 但 当 病 毒 情 况 严 重 、 感 染 主 机 较 多 或 面对 未 知 类 型 勒 索 变 种 ， 基 础 措 施 的 效 果 就 十 分 有 限 。 当 有 数 百 台 甚 至 更 多 主 机 的 场景 感 染 勒 索 病 毒 ， 是 无 法 逐 一 去 采 取 基 础 响 应 措 施 ， 需 要 借 助 专 业 的 安 全 产 品 进 行监 测 、 防 护 和 专 业 的 安 全 团 队 的 技 术 支 持 。1 监 测 ： APT 警 平 台 安 恒 信 息 APT 产 品 ， 对 网 络 中 传 输 的 已 知 和 未 知 恶 意 文 件 样 本 结 合 病 毒 引 擎 、静 态 分 析 和 动 态 分 析 ， 对 勒 索 病 毒 及 其 变 种 传 播 及 时 告 警 ， 对 传 播 类 型 、 传 播 途 径 、恶 意 代 码 传 播 、 回 连 域 名 、 漏 洞 利 用 等 行 为 进 行 深 度 解 析 ， 准 确 定 位 感 染 源 和 感 染主 机 。通 过 APT 内 置 沙 箱 虚 拟 执 行 环 境 ， 对 流 量 中 勒 索 病 毒 动 态 行 为 分 析 ， 捕 获 其 动态 行 为 、 网 络 行 为 、 进 程 行 为 、 文 件 行 为 、 注 册 表 行 为 等 关 键 信 息 ， 识 别 其 中 可 疑的 勒 索 病 毒 特 点 ， 快 速 对 网 络 中 传 输 的 勒 索 病 毒 样 本 进 行 预 警 。通 过 APT 云 端 情 报 共 享 ， 依 托 于 云 端 海 量 数 据 、 高 级 的 机 器 学 习 和 大 数 据 分 析能 力 ， 及 时 共 享 最 新 的 安 全 威 胁 情 报 ， 发 现 已 知 和 未 知 威 胁 恶 意 样 本 传 播 行 为 ， 对勒 索 病 毒 更 精 确 的 定 位 分 析 。2 查 杀 与 防 护 ： EDR 主 机 安 全 及 管 理 系 统安 恒 主 机 卫 士 EDR通 过 “ 平 台 +端 ” 分 布 式 部 署 ， “ 进 程 阻 断 +诱 饵 引 擎 ” 双 引 擎 防 御 已 知 及 未 知 类 型 勒 索 病 毒 。 部 署 监 控 端 后 ， 通 过 平 台 统 一 下 发 安 全 策 略 。 具 备诱 饵 捕 获 引 擎 、 内 核 级 流 量 隔 离 等 行 业 领 先 技 术 。 对 于 已 知 勒 索 病 毒 ， 通 过 “ 进 程启 动 防 护 引 擎 ” 零 误 报 零 漏 报 查 杀 ； 对 于 未 知 勒 索 病 毒 ， 采 用 “ 专 利 级 诱 饵 引 擎 ”进 行 捕 获 ， 阻 断 其 加 密 行 为 ； 通 过 内 核 级 的 流 量 隔 离 技 术 ， 自 动 阻 止 勒 索 病 毒 在 内网 扩 散 或 者 接 收 远 程 控 制 端 指 令 。3 技 术 支 持 ： 安 恒 信 息 安 全 服 务(1) 勒 索 病 毒 应 急 响 应 服 务在 勒 索 病 毒 已 经 加 密 系 统 文 件 后 ， 既 要 遵 循 常 规 的 应 急 响 应 实 施 过 程 也 要 针 对 勒索 病 毒 的 特 点 进 行 相 对 应 的 处 理 工 作 。在 高 级 响 应 措 施 中 ， 安 恒 信 息 安 全 服 务 将 基 于 第 一 现 场 收 集 到 的 各 类 应 急 处 置 信息 ， 例 如 病 毒 感 染 文 件 的 最 初 时 间 ， 结 合 操 作 系 统 日 志 、 业 务 系 统 日 志 、 网 络 设 备日 志 等 设 备 日 志 综 合 判 断 和 构 建 这 一 时 段 信 息 系 统 各 组 件 所 执 行 的 操 作 ， 并 通 过 内 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 6 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 存 取 证 ， 硬 盘 镜 像 等 电 子 证 物 取 证 技 术 手 段 开 展 恶 意 样 本 取 证 分 析 操 作 ， 从 以 上 应急 响 应 业 务 操 作 中 构 建 事 件 发 展 的 时 间 线 、 证 据 链 从 而 推 测 判 断 事 件 发 生 的 准 确 原因 以 及 病 毒 传 播 的 源 头 ， 并 进 一 步 根 据 所 发 现 的 各 类 电 子 证 物 追 踪 背 后 攻 击 者 ， 在各 项 应 急 处 置 过 程 进 展 顺 利 的 情 况 下 找 出 源 头 设 备 以 及 对 应 的 攻 击 者 。在 完 成 现 场 取 证 操 作 后 ， 将 对 事 件 情 况 出 具 专 业 完 整 的 应 急 响 应 报 告 ， 专 业 的 应急 响 应 报 告 不 但 需 要 对 事 件 的 描 述 和 判 断 ， 也 会 针 对 此 类 勒 索 病 毒 事 件 给 出 专 业 的安 全 加 固 建 议 以 及 常 用 的 应 急 处 置 办 法 ， 从 而 在 本 次 应 急 处 置 过 后 不 会 在 完 成 系 统恢 复 之 后 再 次 被 感 染 ， 从 而 造 成 更 严 重 的 影 响 。(2) 开 展 应 急 响 应 的 常 规 操 作 过 程过 程 主 要 内 容 初 步 信 息 收 集 事 发 单 位 的 网 络 拓 扑 情 况 单 位 信 息 系 统 人 员 情 况 针 对 事 发 系 统 的 使 用 习 惯 事 发 信 息 系 统 的 运 维 情 况上 机 操 作 操 作 系 统 日 志 提 取 业 务 系 统 访 问 、 操 作 、 登 录 等 日 志 提 取 病 毒 样 本 提 取 操 作 系 统 网 络 状 态 获 取 文 件 加 密 状 态 情 况 勒 索 内 容 表 现 形 式 溯 源 操 作 日 志 分 析 结 果 病 毒 分 析 结 果 主 机 安 全 漏 洞 排 查 情 况 病 毒 植 入 方 式 分 析 病 毒 影 响 范 围 与 网 络 拓 扑 综 合 判 断 病 毒 扩 散 的 方 向 -有 外 网 入 侵 或 内 网 系 统 相 互 传 播 初 步 给 出 入 侵 时 间 线 、 可 疑 IP、 其 他 可 疑 判 断 攻 击 者 的数 据其 他 情 况 的 处 理 主 机 故 障 ， 例 如 系 统 无 法 开 机 ， 系 统 已 经 重 启 过 多 次 等情 况 。 日 志 缺 失 情 况 下 的 分 析 在 未 取 证 完 毕 的 情 况 下 受 感 染 服 务 器 重 装 系 统 现 场 要 求 数 据 恢 复 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 7 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 现 场 要 求 解 密 的 可 能 性 判 断 给 出 安 全 加 固 建 议第 三 章 已 加 密 系 统 的 处 理 办 法一 备 份 还 原备 份 可 以 是 本 机 、 异 机 或 异 地 （ 云 端 ） 备 份 ， 通 常 勒 索 病 毒 会 遍 历 所 有 磁 盘 并 加密 文 件 ， 同 时 删 除 Windows 的 阴 影 卷 ， 删 除 备 份 历 史 快 照 ， 所 以 本 机 备 份 恢 复 的 可能 性 很 低 。 异 机 备 份 如 果 是 通 过 本 地 磁 盘 到 共 享 磁 盘 进 行 文 件 或 者 数 据 拷 贝 的 方 式实 现 ， 勒 索 病 毒 同 样 有 可 能 加 密 了 备 份 文 件 。 与 感 染 病 毒 的 主 机 不 在 同 一 局 域 网 内的 异 地 备 份 系 统 最 能 在 此 时 发 挥 作 用 。进 行 备 份 还 原 前 ， 要 确 保 原 主 机 上 病 毒 已 彻 底 清 除 ， 应 进 行 磁 盘 格 式 化 并 重 装 系 统 。 日 常 进 行 合 理 的 数 据 备 份 ， 是 最 有 效 的 灾 难 恢 复 方 法 。二 解 密 工 具大 部 分 勒 索 病 毒 使 用 128位 密 钥 的 AES（ 对 称 加 密 算 法 ） 加 密 文 件 ， 再 将 AES的密 钥 使 用 2048位 密 钥 的 RSA（ 非 对 称 加 密 算 法 ） 加 密 ， 通 过 暴 力 破 解 来 解 密 是 不 科学 的 ， 所 以 通 常 的 解 密 工 具 是 通 过 已 公 开 的 密 钥 来 解 密 。 而 密 钥 来 源 有 三 种 途 径 ： 一 是 破 解 勒 索 程 序 得 到 ， 前 提 是 勒 索 程 序 本 身 存 在 漏 洞 ， 但 此 概 率 极 低 。 二 是 勒 索 者 对 受 害 人 感 到 愧 疚 、 同 情 等 极 端 情 况 而 公 开 密 钥 。 三 是 执 法 机 构 获 得 勒 索 者 的 服 务 器 ， 同 时 服 务 器 上 存 储 着 密 钥 且 执 法 机 构 选择 公 开 。除 了 付 费 解 密 的 工 具 ， 还 可 尝 试 国 际 刑 警 组 织 反 勒 索 病 毒 网 站（ nomoreransom/zh/index.html） 提 供 的 解 密 工 具 。三 数 据 恢 复一 部 分 勒 索 病 毒 加 密 文 件 的 时 候 直 接 加 密 原 文 件 ， 还 有 一 部 分 勒 索 病 毒 是 加 密 原文 件 副 本 再 删 除 原 文 件 ， 而 原 文 件 有 些 会 用 随 机 数 覆 盖 ， 有 些 并 没 有 。 原 文 件 没 有被 覆 盖 的 情 况 就 可 以 通 过 数 据 恢 复 的 方 式 进 行 恢 复 。除 了 收 费 的 专 业 数 据 恢 复 可 以 尝 试 使 用 DiskGenius等 工 具 扫 描 磁 盘 进 行 数 据 恢复 。四 支 付 解 密在 早 期 勒 索 病 毒 基 本 都 是 勒 索 不 同 数 额 的 比 特 币 ， 但 是 随 时 虚 拟 货 币 市 场 的 发 展 ，勒 索 病 毒 勒 索 的 内 容 也 不 单 单 围 绕 比 特 币 。 例 如 2018 年 1 月 首 次 出 现 的 Gandcrab 家 族 勒 索 的 就 是 更 能 隐 藏 用 户 信 息 达 世 币 。注 意 ： 由 于 勒 索 病 毒 已 呈 现 产 业 化 ， 同 时 在 大 量 的 实 例 表 明 ， 现 阶 段 存 在 大 量 的 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 8 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 变 种 病 毒 ， 支 付 赎 金 后 ， 并 不 提 供 真 实 有 效 的 密 钥 ， 实 际 解 密 成 功 率 极 低 。 同 时 ，存 在 人 为 投 毒 后 ， 冒 以 专 家 身 份 主 动 联 系 代 付 解 密 的 情 况 ， 故 不 建 议 直 接 支 付 解 密 。但 当 数 据 十 分 重 要 且 上 述 其 他 方 法 都 无 法 恢 复 ， 最 终 经 过 综 合 评 判 ， 确 定 需 要 支 付赎 金 以 尝 试 解 密 时 ， 也 建 议 听 取 安 全 专 家 或 警 方 人 员 的 建 议 以 及 综 合 判 断 ， 谨 慎 处置 。五 重 装 系 统当 使 用 上 述 方 法 恢 复 数 据 后 或 不 需 要 解 密 文 件 ， 原 本 的 中 毒 主 机 都 需 要 重 装 系 统后 再 使 用 。 确 保 主 机 上 没 有 可 用 数 据 后 进 行 格 式 化 并 重 装 系 统 ， 格 式 化 是 保 证 不 会有 残 余 的 病 毒 文 件 ， 当 格 式 化 之 后 将 无 法 再 进 行 数 据 恢 复 。 重 装 系 统 后 要 打 好 补 丁 ，软 件 应 确 保 使 用 最 新 版 本 或 打 好 补 丁 ， 避 免 漏 洞 被 利 用 。 口 令 也 应 符 合 上 文 中 提 到过 的 强 口 令 要 求 。 如 何 做 好 勒 索 病 毒 的 事 前 防 护 会 在 第 4章 会 详 述 。 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 9 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 第 四 章 勒 索 病 毒 的 防 治 建 议由 于 勒 索 病 毒 的 变 种 较 多 ， 同 时 具 有 病 毒 、 蠕 虫 、 人 为 投 毒 等 多 种 形 式 ， 当 勒 索病 毒 成 功 运 行 后 ， 解 密 较 为 困 难 ， 所 以 勒 索 病 毒 的 防 治 主 要 预 防 为 主 ， 加 强 整 体 网络 安 全 管 理 ， 以 及 有 效 的 技 术 治 理 手 段 ， 如 强 化 勒 索 病 毒 防 护 的 EDR 产 品 ， 监 测 传播 途 径 的 APT产 品 等 。一 基 础 防 护 措 施 及 建 议很 多 勒 索 病 毒 的 落 地 并 不 一 定 经 过 长 时 间 复 杂 的 攻 击 过 程 ， 可 能 就 是 源 于 一 封 垃圾 邮 件 ， 所 以 一 定 不 能 忽 略 很 多 基 础 措 施 。1 增 强 安 全 意 识除 了 漏 洞 利 用 与 暴 力 破 解 外 ， 最 多 的 感 染 勒 索 病 毒 的 原 因 就 是 利 用 网 页 挂 马 、 垃 圾 电 子 邮 件 与 捆 绑 恶 意 程 序 ， 所 以 日 常 使 用 网 络 时 要 有 以 下 安 全 意 识 ： 不 访 问 色 情 、 博 彩 等 等 不 良 信 息 网 站 ， 这 些 网 站 通 常 会 引 导 访 客 下 载 病 毒 文件 或 发 动 钓 鱼 、 挂 马 攻 击 。 不 轻 易 下 载 陌 生 人 发 来 的 邮 件 附 件 ， 不 点 击 陌 生 邮 件 中 的 链 接 。 不 随 意 使 用 陌 生 U 盘 、 移 动 硬 盘 等 外 设 ， 使 用 时 切 勿 关 闭 防 护 软 件 比 如Windows自 带 的 Windows defender， 避 免 拷 入 恶 意 文 件 。 不 轻 易 运 行 bat、 vbs、 vbe、 js、 jse、 wsh、 wsf 等 后 缀 的 脚 本 文 件 和 exe可 执 行 程 序 ， 不 轻 易 解 压 不 明 压 缩 文 件 。 陌 生 文 件 下 载 运 行 前 可 使 用 文 件 威 胁分 析 平 台 进 行 检 测 （ :8080/） ， 避 免 感 染 病毒 。 定 期 查 杀 病 毒 ， 清 理 可 疑 文 件 ， 备 份 数 据 。2 增 加 口 令 强 度 勒 索 病 毒 最 常 用 的 攻 击 方 式 是 利 用 永 恒 之 蓝 漏 洞 和 爆 破 RDP（ 远 程 桌 面 协 议 ） 等服 务 弱 口 令 ， 为 应 对 后 者 应 立 即 修 改 系 统 和 各 应 用 （ MySQL、 SQLServer等 ） 的 弱 口令 、 空 口 令 、 多 台 服 务 器 共 用 的 重 复 口 令 。 强 密 码 长 度 不 少 于 8 个 字 符 ， 至 少 包 含以 下 四 类 字 符 中 的 三 类 ： 大 小 写 字 母 、 数 字 、 特 殊 符 号 ， 不 能 是 人 名 、 计 算 机 名 、用 户 名 、 邮 箱 名 等 。在 企 业 中 可 以 通 过 密 码 策 略 让 电 脑 使 用 者 必 须 设 置 一 个 复 杂 密 码 ， Windows操 作系 统 可 以 通 过 配 置 密 码 策 略 来 实 现 。 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 10 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 3 修 复 系 统 漏 洞在 微 软 发 布 高 危 漏 洞 公 告 后 应 尽 快 修 复 系 统 存 在 的 漏 洞 ， 避 免 被 恶 意 利 用 。 微 软安 全 响 应 中 心 ： 在 企 业 中 或 个 人如 果 不 能 及 时 关 注 响 应 这 些 漏 洞 信 息 ， 应 借 助 安 全 软 件 完 成 漏 洞 修 复 。 尤 其 当 企 业有 庞 大 数 量 的 主 机 需 要 管 理 时 ， 应 选 择 合 适 的 安 全 管 理 系 统 完 成 修 复 漏 洞 的 工 作 ，这 点 在 下 一 节 详 述 。4 修 复 应 用 漏 洞勒 索 病 毒 利 用 的 漏 洞 工 具 除 了 广 为 人 知 的 永 恒 之 蓝 系 列 ， 新 型 的 勒 索 病 毒 一 般 还携 带 许 多 Web应 用 漏 洞 利 用 工 具 ， 比 如 JBoss反 序 列 化 漏 洞 (CVE-2013-4810)、 Tomcat任 意 文 件 上 传 漏 洞 （ CVE-2017-12615） 、 Tomcat web 管 理 后 台 弱 口 令 爆 破 、 ApacheStruts2远 程 代 码 执 行 漏 洞 S2-045 等 。 所 以 应 定 期 检 测 并 修 复 漏 洞 ， 最 好 是 能 够 及 时 更 新 版 本 。5 端 口 管 理除 了 必 要 的 业 务 需 求 应 关 闭 135、 139、 445、 3389等 端 口 ， 及 时 需 要 对 部 分 机 器开 放 ， 也 应 做 出 配 置 仅 限 部 分 机 器 可 访 问 。 通 过 防 火 墙 配 置 、 安 全 软 件 隔 离 或 准 入管 理 。二 边 界 网 络 检 测 建 议1 传 统 安 全 设 备 边 界 防 护 弱 点利 用 电 子 邮 件 、 应 用 程 序 漏 洞 （ 例 如 web应 用 漏 洞 ） 、 0day漏 洞 （ 零 日 漏 洞 ） 、Nday漏 洞 （ 已 知 漏 洞 ） 、 社 会 工 程 学 等 找 到 进 入 目 标 网 络 的 大 门 获 取 权 限 后 ， 进 行 勒 索 病 毒 植 入 。由 于 传 统 防 御 体 系 是 建 立 在 已 知 知 识 、 规 则 的 基 础 上 ， 缺 乏 对 未 知 威 胁 的 感 知 能 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 11 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 力 ， 难 以 有 效 发 现 勒 索 病 毒 及 其 变 种 。(1) 网 络 防 火 墙防 火 墙 核 心 功 能 是 网 络 层 逻 辑 隔 离 和 规 则 控 制 ， 应 用 层 检 测 能 力 较 弱 ， 一 般 需 要管 理 员 手 工 添 加 规 则 防 护 ， 新 一 代 防 火 墙 通 常 集 成 了 病 毒 、 web和 内 容 检 测 ， 但 都 局限 于 特 征 明 显 的 攻 击 检 测 ， 对 于 隐 藏 在 合 法 数 据 包 内 的 攻 击 难 以 防 范 。(2) 入 侵 检 测 系 统 （ IDS）IDS基 于 单 规 则 和 特 征 库 分 析 ， 仅 限 于 对 已 知 漏 洞 进 行 检 测 ， 易 被 绕 过 ， 误 报 率和 漏 报 率 较 高 ， 尤 其 在 隐 蔽 性 较 强 的 攻 击 行 为 和 0day面 前 无 能 为 力 。(3) 防 病 毒 网 关防 毒 墙 主 要 通 过 对 HTTP、 FTP、 SMTP、 IMAP等 协 议 的 数 据 进 行 病 毒 扫 描 ， 检 测 进出 的 数 据 ， 但 所 有 的 检 测 基 本 都 基 于 文 件 类 型 ， 并 且 只 能 根 据 特 征 匹 配 已 知 的 病 毒木 马 攻 击 ， 难 以 检 测 利 用 0day进 行 的 病 毒 传 播 行 为 。2 安 恒 APT 对 边 界 流 量 深 度 检 测 (1) 勒 索 病 毒 突 破 网 络 边 界 防 御 传 播 途 径攻 击 方 式 描 述水 坑 攻 击 利 用 目 标 网 站 的 防 护 弱 点 ， 植 入 恶 意 代 码 ， 当 用 户 访 问 目 标 网 站 时执 行 恶 意 代 码 ， 一 旦 中 招 ， 将 造 成 严 重 损 失 。邮 件 恶 意 附 件 勒 索 病 毒 利 用 用 户 防 范 意 识 薄 弱 的 情 况 ， 将 恶 意 程 序 伪 装 成 看 似 正常 的 文 件 ， 通 过 邮 件 附 件 方 式 发 送 给 用 户 ， 诱 骗 用 户 下 载 执 行 。系 统 漏 洞 利 用 此 种 方 式 的 传 播 通 常 具 有 横 向 扩 散 的 特 点 ， 病 毒 、 蠕 虫 通 过 利 用0DAY、 NDAY漏 洞 感 染 无 防 护 的 站 点 、 主 机 等 。锁 定 目 标 入 侵 弱 点 探 测 、 渗 透 入 侵 、 获 取 权 限 、 命 令 控 制 、 数 据 盗取 的 五 大 攻 击 阶 段 都 经 过 精 心 策 划 ， 传 统 的 防 护 设 备 对 黑 客 势 在 必行 的 攻 击 力 不 从 心 ， 须 加 强 应 对 APT高 级 威 胁 的 安 全 防 护 手 段 。 软 件 下 载 、 文件 共 享 式 攻 击 勒 索 病 毒 以 插 件 等 形 式 被 植 入 软 件 安 装 程 序 里 ， 通 过 文 件 共 享 等 形式 传 播 ， 具 有 极 强 的 隐 蔽 性 ， 一 旦 执 行 ， 可 能 造 成 严 重 的 数 据 、 财产 的 损 失 。(2) 安 恒 APT对 勒 索 病 毒 边 界 传 播 检 测检 测 方 法 描 述恶 意 文 件 深 度 分析 结 合 先 进 的 沙 箱 检 测 技 术 ， 通 过 病 毒 引 擎 检 测 、 静 态 分 析 、 动态 分 析 等 维 度 对 协 议 文 件 进 行 深 度 分 析 ， 发 现 勒 索 病 毒 及 其 变种 传 播 行 为 。 勒 索 病 毒 应 急 与 响 应 手 册 领 先 的 应 用 安 全 及 数 据 库 安 全 整 体 解 决 方 案 提 供 商 第 12 页 共 17页杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 杭 州 总 部 电 话 ： +86-0571-2886099 漏 洞 利 用 行 为 检测 对 0DAY/NDAY漏 洞 利 用 行 为 检 测 ， 结 合 动 态 沙 箱 分 析 技 术 ， 发现 网 站 漏 洞 、 文 件 漏 洞 、 系 统 漏 洞 等 可 能 被 勒 索 软 件 利 用 以 及传 播 的 行 为 。DNS异 常 流 量 检 测 采 用 DGA域 名 检 测 算 法 ， 及 时 发 现 受 控 端 和 远 控 端 之 间 的 异 常通 讯 ， 精 确 定 位 被 勒 索 病 毒 感 染 主 机 。社 工 攻 击 检 测 对 社 工 类 攻 击 准 确 预 测 ， 比 如 通 过 邮 箱 域 名 信 誉 分 析 、 收 件 人账 号 检 测 发 现 基 于 邮 件 钓 鱼 的 勒 索 行 为 攻 击 ； 结 合 文 件 检 测 技术 对 邮 件 恶 意 附 件 隐 藏 的 恶 意 代 码 深 度 分 析 ， 及 时 检 出 勒 索 病毒 的 传 播 行 为 。云 端 高 级 威 胁 分析 通 过 云 端 提 供 的 深 层 次 威 胁 分 析 服 务 、 安 全 预 警 服 务 和 情 报 共享 服 务 ， 对 勒 索 病 毒 行 为 准 确 预 判 ， 防 患 未 然 。三 终 端 防 护 建 议 ： 终 端 检 测 与 响 应 （ EDR） 1 传 统 杀 毒 软 件 在 应 对 勒 索 时 的 困 境(1) 单 点 能 力 无 法 应 对 勒 索 的 分 布 式 扩 散勒 索 病 毒 在 局 域