自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒对政企机构和网民的威胁极大:企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。
2021年3月,全球新增活跃勒索病毒:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的PhoenixCryptoLocker可能与Evil黑客组织相关。
勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。本文介绍了一些勒索病毒的防范和处理措施,希望能够帮助读者免受勒索病毒侵害。
一、如何判断病情
如何判断计算机是否中了勒索病毒呢?勒索病毒有区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的主要目的是为了勒索,黑客在植入病毒完成加密后,会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。如果计算机出现了以下特征,可表明已经中了勒索病毒。
1、电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
2、文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件扩展名被篡改。一般来说,文件扩展名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的扩展名为dream、TRUE、CHAK等;Satan家族的扩展名有satan、sicck;Crysis家族的扩展名有ARROW、arena等。
二、如何进行自救
1、正确处置方法
(一)隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1)物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2)访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
(二)排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
(三)联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
2、错误处置方法
(一)使用移动存储设备
错误操作
当确认服务器已经被感染勒索病毒后,在中毒电脑上使用U盘、移动硬盘等移动存储设备。
错误原理
勒索病毒通常会对感染电脑上的所有文件进行加密,所以当插上U盘或移动硬盘时,也会立即对其存储的内容进行加密,从而造成损失扩大。从一般性原则来看,当电脑感染病毒时,病毒也可能通过U盘等移动存储介质进行传播。
所以,当确认服务器已经被感染勒索病毒后,切勿在中毒电脑上使用U盘、移动硬盘等设备。
(二)读写中招主机上的磁盘文件
错误操作
当确认服务器已经被感染勒索病毒后,轻信网上的各种解密方法或工具,自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。
错误原理
很多流行勒索病毒的基本加密过程为:
1)首先,将保存在磁盘上的文件读取到内存中;
2)其次,在内存中对文件进行加密;
3)最后,将修改后的文件重新写到磁盘中,并将原始文件删除。
也就是说,很多勒索病毒在生成加密文件的同时,会对原始文件采取删除操作。理论上说,使用某些专用的数据恢复软件,还是有可能部分或全部恢复被加密文件的。
而此时,如果用户对电脑磁盘进行反复的读写操作,有可能破坏磁盘空间上的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。
三、如何恢复系统
1、历史备份还原
如果事前已经对文件进行了备份,那么我们可以直接从云盘、硬盘或其他灾备系统中,恢复被加密的文件。值得注意的是,在文件恢复之前,应确保系统中的病毒已被清除,已经对磁盘进行格式化或是重装系统,以免插上移动硬盘的瞬间,或是网盘下载文件到本地后,备份文件也被加密。
事先进行备份,既是最有效也是成本最低的恢复文件的方式。
2、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,这种加密方式的特点是,只要加密密钥足够长,普通电脑可能需要数十万年才能够破解,破解成本是极高的。通常情况,如果不支付赎金是无法解密恢复文件的。
但是,对于以下三种情况,可以通过各大安全厂商提供的解密工具恢复感染文件:
1)勒索病毒的设计编码存在漏洞或并未正确实现加密算法;
2)勒索病毒的制造者主动发布了密钥或主密钥;
3)执法机构查获带有密钥的服务器,并进行了分享。
通过查询可靠安全厂商的网站,可以了解哪些勒索病毒可以被解密,同时采取相应措施。
3、重装系统
当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
4、如何加强防护
虽说部分勒索病毒目前已有解密工具,但勒索病毒制作成本低、利润高,新型勒索病毒层出不穷,并不是所有的勒索病毒都能进行解密。因此,加强勒索病毒的防护比中了勒索病毒之后再进行补救要有效得多。
对于高校师生,加强防护主要有以下相应措施:
养成良好的安全习惯
1)电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2)使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3)电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
4)重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
5)不要浏览来路不明的不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
6)不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
7)电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
8)对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
来自https://nic.seu.edu.cn/info/1023/2027.htm