产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
勒索病毒应急响应指导手册
2018-11-28 04:01:05
一、自诊判断是否感染勒索病毒
1.1什么是勒索病毒
勒索病毒是一种黑客通过技术手段将受害者机器内的重要数据文件进行加密,最终迫使受害者向黑客缴纳赎金来解密文件,从而非法牟利勒索钱财的病毒。勒索病毒是近年来极为流行的病毒类型之一。
勒索病毒主要有以下几种类型:
A.使用加密算法对攻击机器内的文件进行加密(流行)
B.直接对磁盘分区进行加密(较少)
C.劫持操作系统引导区后禁止用户正常登录操作系统(较少)
1.2如何判断遭受勒索病毒感染
由于勒索病毒最终以勒索钱财为目的,与传统类型病毒获利模式有较大差异,当受害者遭受到勒索病毒攻击后会产生极为明显的受勒索特征。通过观察遭受勒索病毒攻击机器环境发现病毒造成的明显异常点,可进一步确诊自身当前是否遭受到勒索病毒攻击。
具体可通过以下几种方式来进行判断自己中毒类型是否为勒索病毒。
1)电脑桌面壁纸被篡改
勒索病毒攻击成功后,为了让受害者第一时间感知到被病毒入侵,部分情况下会修改用户当前电脑桌面壁纸,告知受害者当前已被病毒感染,需要缴纳赎金进行解密。
如下图为GandCrab勒索病毒感染后的情景:用户的桌面壁纸被修改为黑色背景且带有勒索信息。
2)有明显的勒索信息窗口展示
勒索病毒加密文件完成后,通常会在被加密文件所在目录下创建一个勒索提示说明文档。为了更加直观,勒索病毒完成文件加密后通常会自动打开该文档。该说明文档通常为txt或html文件类型,部分病毒也会直接使用病毒程序弹出窗口的形式来展示勒索信息。
3)文件后缀被修改且文件使用打开异常
勒索病毒为了标识被自身加密过的文件,通常情况下会在完成文件加密后,修改被加密文件的原始后缀。被修改后的文件后缀区别于常见文件类型,因此通过该后缀也可判断确诊是否遭受到了勒索病毒攻击,下图为图片文件被加密后添加了dlkjq后缀,此时该图片文件已无法正常打开使用。
1.3.如何判断当前感染了哪种勒索病毒
腾讯安全团队通过收集当前国内外存在的勒索病毒家族,归纳各家族勒索病毒特征,开发出一个支持超过检索280余种勒索病毒家族的搜索引擎。
当用户遭受勒索病毒攻击后,可通过该搜索引擎获取更多病毒相关信息,如病毒名称、特征描述、是否支持解密等(搜索引擎地址https://guanjia.qq.com/pr/ls/#navi_0)
勒索病毒搜索引擎支持以下形式的内容输入检出
1)通过文件加密后缀信息搜索
2)通过勒索提示文档名信息搜索
3)通过勒索病毒留下的其它关键字搜索
2:数据解密恢复
2.1.确认被加密文件是否可以使用工具解密:
1)使用腾讯安全团队提供的勒索病毒搜索引擎,可查询该病毒是否支持使用工具进行解密,如支持解密,可直接点击下载工具对文件进行解密。(搜索引擎地址https://guanjia.qq.com/pr/ls/#navi_0)
2)通过使用腾讯电脑管家文档守护者功能,扫描被加密文件目录,也可确认该文件是否支持解密。
2.2没有解密工具的情况下还可以做什么:
中毒前如安装腾讯电脑管家或者御点终端安全管理系统,并开启了文档守护者功能,文档守护者会对系统内的重要数据进行备份保护,当系统不幸感染勒索病毒,可进行备份文件恢复。
若没有提前开启文档守护者功能,可尝试使用腾讯电脑管家工具箱内的文件恢复工具。如仍无法恢复数据,建议对被加密数据进行保存,等待未来可能出现的数据恢复方案。
2.3.为什么只有部分病毒可以解密:
绝大多数情况下,勒索病毒使用了高强度非对称加密算法对文件进行加密(例:RSA+AES),由于算法不可逆,被勒索病毒加密的文件通过常规技术手段无法解密。少数可解密情况主要包含以下场景:
1.由于勒索病毒自身设计缺陷导致的加密算法可逆,密钥泄漏场景下的文件可解密。
2.得益于警方与安全公司的合作,对勒索团伙进行打击后拿到了病毒作者手中的密钥,进而使用该密钥开发出解密工具。
3.勒索病毒作者自己放出了手中的密钥,进而开发出了解密工具。
由于上述该类型场景均为小概率事件,所以并不是所有类型勒索病毒均可以解密。
3:感染勒索病毒后正确的应急处理流程
3.1.采取适当的自救措施
用户确认遭受到了勒索病毒攻击后,建议在专业的安全人员到来之前,采取正确的紧急自救措施,以防止病毒导致灾情扩大。
自救措施可参照以下流程:
1)物理、网络隔离染毒机器
对于已经中毒的机器,建议在内网下线处理,后续确认清理病毒完毕且无风险后才能重新接入网络,避免病毒横向传播导致局域网内其它机器被动染毒。
2)工作环境风险排除
内网其他未中毒的电脑,若使用了弱口令登录的建议尽快修改,使用由字母、数字和特殊字符组合的复杂密码,并杜绝多台机器使用同一密码,避免攻击者暴力破解成功(企业网管可配置强制使用强壮密码,杜绝使用弱密码登录),具体流程可参考以下部分:
A、检查登录密码是否为弱密码,如:空密码,123456,111111,admin,5201314等。
B、检查是否开启高风险服务、端口,如:
21\22\23\25\80\135\139\443\445\3306\3389,以及不常见端口号。linux下root权限使用命令:netstat -tnlp; windows下使用命令netstat -ano | findstr LISTENLING,同时使用命令tasklist导出进程列表,找出可疑的正在监听端口对应的进程。
C、检查机器防火墙是否开启,在不影响正常办公的情况下,建议开启防火墙。
D、检查机器ipc空连接及默认共享是否开启,windows下使用net share命令查看,若返回的列表为空即未开启,否则为开启默认共享。列表中出现C$\D$\E$分别代表默认共享出C、D、E盘文件,且在获取到windows ipc$连接权限后,可随意读写。该类共享用不到的情况下,建议关闭,关闭方法:net share C$ /del,net share ipc$ /del……
E、检查机器是否关闭“自动播放”功能,方法:打开“运行”,输入gpedit.msc打开组策略选中计算机配置---管理模板---系统---“关闭自动播放”,双击进入编辑界面,对所有驱动器选择启用关闭。此外,建议安装安全软件杜绝该类威胁,以防U盘等外接设备传播病毒木马。打开“运行”,输入:control.exe /name Microsoft.AutoPlay,弹出的设置对话框中,选择“不执行操作”。
F、检查机器安装软件情况,是否有低版本有漏洞软件,如:FTP Internet Access Manager 1.2、Rejetto HTTP File Server (HFS) 2.3.x、FHFS - FTP/HTTP File Server 2.1.2等。使用命令:wmic /output:D:\check\InstalledSoftwareList.txt product get name,version可将本机安装软件列表导出到D:\check\InstalledSoftwareList.txt中。
G、检查本机office、adobe、web浏览器等软件是否更新到最新版本及安装最新补丁,以防钓鱼、挂马类攻击。
H、检查本机系统补丁是否安装到最新,可使用安全终端提供的漏洞修复功能。
终端用户若不使用远程桌面登录服务,建议关闭;局域网内已发生勒索病毒入侵的,可暂时关闭135,139,445,3389,5900端口以减少远程入侵的可能。
3.2自救中应避免以下行为
1)立即插入移动存储设备操作染毒机器数据
部分勒索病毒具备感染移动设备的能力,此时若在病毒机器上使用移动设备,移动设备也将进一步被感染,形成一个移动的病毒源,进而给其它使用该设备的机器带来潜在风险。另外在染毒机器环境中插入移动设备,可能会导致移动设备中的重要数据也被加密,进而扩大灾情。
2)自行尝试使用网络中非安全厂商提供的各类解密工具
勒索病毒加密文件通常分为以下3个步骤
A、将磁盘文件数据读取到内存。
B、对读取到内存中的数据进行加密。
C、将加密后的数据写入磁盘,并删除原始文件。
部分情况下,遭受勒索病毒攻击后,使用专业的文件恢复工具有概率进一步找到部分加密前的原始数据,进而恢复出来。但当尝试使用网络中的不知名工具反复对磁盘进行读写操作,会破坏磁盘中存放的原始文件数据,进而丢失恢复原始文件的机会。
4:日常安全防护
A、定期进行安全培训,日常安全管理可参考“三不三要”思路
1.不上钩:标题吸引人的未知邮件不要点开
2.不打开:不随便打开电子邮件附件
3.不点击:不随意点击电子邮件中附带网址
4.要备份:重要资料要备份
5.要确认:开启电子邮件前确认发件人可信
6.要更新:系统补丁/安全软件病毒库保持实时更新
B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。
C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。
D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。
E、建议对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性。
F、建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。
G、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。
H、建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。
I、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。
J、关键应用系统定期进行安全测试和加固。
5:重要数据备份
5.1做好安全灾备方案,可按数据备份三二一原则来指导实施
A、至少准备三份:重要数据备份两份
B、两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等
C、一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。
在线咨询
方案定制