2019年11月份以來接到不下于5家的企業(yè)遇到了勒索病毒的入侵���,其中最為嚴(yán)重的是“Globelmposter也就是“十二生肖”V2.0�、V3.0來襲”
開機后彈出:
黑客勒索0.6個比特幣���!
通過上面的截圖我們可以看到
#加密的時間是11月2日23點05分左右
#后綴名基本上以“十二生肖”英文結(jié)尾
#每一個文件夾都有一個開執(zhí)行文件HOW TO BACK YOUR FILES.EXE 的文件�,運行這個文件彈出勒索信息
試了幾個主流的解密工具�����,均無效!
桌面新建幾個文檔都沒有被加密����,可能病毒源文件已經(jīng)被黑客清除
系統(tǒng)日志也已經(jīng)被黑客清空。�。。
被黑原因:
運維人員為了方便運維�,將自己的電腦開啟RDP,并且用防火墻直接映射在了公網(wǎng)�����,為Globelmposter的入侵做好了準(zhǔn)備����,這就是一盤菜啊。
作為一名安全應(yīng)急響應(yīng)人員����,該如何去處理勒索病毒,可以給客戶提供哪些勒索病毒防范措施和應(yīng)急響應(yīng)指導(dǎo)等��。
關(guān)于勒索病毒���,信息化技術(shù)人員需要做的:
一�����、部署可靠高質(zhì)量的防火墻��、安裝防病毒終端安全軟件�����,檢測應(yīng)用程序�、攔截可疑流量,使防病毒軟件保持最新����,設(shè)置為高強度安全防護級別����,還可以使用軟件限制策略防止未經(jīng)授權(quán)的應(yīng)用程序運行
二、關(guān)注最新的漏洞��,及時更新電腦上的終端安全軟件�����,修復(fù)最新的漏洞
三�����、關(guān)閉不必要的端口,目前發(fā)現(xiàn)的大部分勒索病毒通過開放的RDP端口進行傳播��,如果業(yè)務(wù)上無需使用RDP��,建議關(guān)閉RDP�����,以防止黑客通過RDP爆破攻擊
四�����、培養(yǎng)員工的安全意識����,這點非常重要,如果企業(yè)員工不重視安全�����,遲早會出現(xiàn)安全問題����,安全防護的重點永遠在于人�,人也是最大的安全漏洞�����,企業(yè)需要不定期給員工進行安全教育的培訓(xùn)��,與員工一起開展安全意識培訓(xùn)���、檢查和討論:
1.企業(yè)還沒有中勒索��,但領(lǐng)導(dǎo)很害怕�,該如何防范呢?有哪些建議和指導(dǎo)
2.企業(yè)已經(jīng)中了勒索�����,該如何快速進行應(yīng)急響應(yīng)?有哪些建議和指導(dǎo)
企業(yè)應(yīng)該如何做好安全防護��,主要從以下幾個方面入手:
設(shè)置高強度的密碼�����,而且要不定期進行密碼的更新�����,避免使用統(tǒng)一的密碼�����,統(tǒng)一的密碼會導(dǎo)致企業(yè)多臺電腦被感染的風(fēng)險���,此前我就遇到過一個企業(yè)內(nèi)網(wǎng)的密碼都使用同一個的情況�,導(dǎo)致企業(yè)內(nèi)部多臺電腦被勒索加密
企業(yè)內(nèi)部應(yīng)用程序的管控與設(shè)置����,所有的軟件都由IT部門統(tǒng)一從正規(guī)的網(wǎng)站進行下載,進行安全檢測之后�����,然后再分發(fā)給企業(yè)內(nèi)部員工��,禁止員工自己從非正規(guī)的網(wǎng)站下載安裝軟件
企業(yè)內(nèi)部使用的office等軟件��,要進行安全設(shè)置�,禁止宏運行,避免一些惡意軟件通過宏病毒的方式感染主機
從來歷不明的網(wǎng)站下載的一些文檔��,要經(jīng)過安全檢測才能打開使用��,切不可直接雙擊運行
謹(jǐn)慎打開來歷不明的郵件,防止被郵件釣魚攻擊和垃圾郵件攻擊�,不要隨便點擊郵件中的不明附件或快捷方式,網(wǎng)站鏈接等��,防止網(wǎng)頁掛馬���,利用漏洞攻擊等
可以不定期進行安全攻防演練����,模擬攻擊等���,讓員工了解黑客有哪些攻擊手法
可以給員工進行勒索病毒感染實例講解�����,用真實的勒索病毒樣本����,進行模擬感染攻擊��,讓員工了解勒索病毒的危害
五�、養(yǎng)成良好的備份習(xí)慣��,對重要的數(shù)據(jù)和文檔進行定期非本地備份,可使用移動存儲設(shè)置保存關(guān)鍵數(shù)據(jù)�,同時要定期測試保存的備份數(shù)據(jù)是否完整可用
勒索病毒的特征一般都很明顯,會加密磁盤的文件����,并在磁盤相應(yīng)的目錄生成勒索提示信息文檔或彈出相應(yīng)的勒索界面,如果你發(fā)現(xiàn)你的文檔和程序無法打開�,磁盤中的文件被修改,桌面壁紙被替換����,提示相應(yīng)的勒索信息,要求支付一定的贖金才能解密��,說明你的電腦中了勒索病毒��。
企業(yè)中了勒索�,該如何應(yīng)急,主要從以下幾個方面入手:
1.隔離被感染的服務(wù)器主機
拔掉中毒主機網(wǎng)線�����,斷開主機與網(wǎng)絡(luò)的連接�����,關(guān)閉主機的無線網(wǎng)絡(luò)WIFI、藍牙連接等����,并拔掉主機上的所有外部存儲設(shè)備
2.確定被感染的范圍
查看主機中的所有文件夾、網(wǎng)絡(luò)共享文件目錄�����、外置硬盤�、USB驅(qū)動器,以及主機上云存儲中的文件等����,是否已經(jīng)全部加密了
3.確定是被哪個勒索病毒家族感染的,在主機上進行溯源分析�����,查看日志信息等
主機被勒索病毒加密之后���,會在主機上留上一些勒索提示信息�����,我們可以先去加密后的磁盤目錄找到勒索提示信息���,有些勒索提示信息上就有這款勒索病毒的標(biāo)識,顯示是哪一種勒索病毒��,比方GandCrab的勒索提示信息�����,最開始都標(biāo)明了是哪一個版本的GandCrab勒索病毒版本��,可以先找勒索提示信息����,再進行溯源分析
溯源分析一般通過查看主機上保留的日志信息,以及主機上保留的樣本信息��,通過日志可以判斷此勒索病毒可能是通過哪種方式進來的����,比方發(fā)現(xiàn)文件被加密前某個時間段有大量的RDP爆破日志,并成功通過遠程登錄過主機����,然后在主機的相應(yīng)目錄發(fā)現(xiàn)了病毒樣本,可能猜測這款勒索病毒可能是通過RDP進來的,如果日志被刪除了���,就只能去主機上找相關(guān)的病毒樣本或可疑文件�,通過這些可疑的文件來猜測可能是通過哪種方式進來的����,比方有些是能過銀行類木馬下載傳播的,有些是通過遠控程序下載傳播的����,有些是通過網(wǎng)頁掛馬方式傳播的,還可以去主機的瀏覽器歷史記錄中去找相關(guān)的信息等等
4.找到病毒樣本���,提取主機日志�����,進行溯源分析之后����,關(guān)閉相應(yīng)的端口�、網(wǎng)絡(luò)共享、打上相應(yīng)的漏洞補丁�����,修改主機密碼,安裝高強度防火墻��,防病毒軟件等措施���,防止被二次感染勒索
5.進行數(shù)據(jù)和業(yè)務(wù)的恢復(fù),如果主機上的數(shù)據(jù)存在備份�����,則可以還原備份數(shù)據(jù)��,恢復(fù)業(yè)務(wù)�,如果主機上的數(shù)據(jù)沒有備份,可以在確定是哪種勒索病毒家族之后����,查找相應(yīng)的解密工具,解密工具網(wǎng)站可以看我上一篇文章中提到的����,事實上現(xiàn)在大部分流行勒索病毒并沒有解密工具,如果數(shù)據(jù)比較重要��,業(yè)務(wù)又急需恢復(fù),可以考慮使用下面方式嘗試恢復(fù)數(shù)據(jù)和業(yè)務(wù):
1)可以通過一些磁盤數(shù)據(jù)恢復(fù)手段����,恢復(fù)被刪除的文件
2)可以跟一些第三方解密中介或直接通過郵件的方式聯(lián)系黑客進行協(xié)商解密(但不推薦),可能就是因為現(xiàn)在交錢解密的企業(yè)越來越多��,導(dǎo)致勒索病毒家族變種越來越多���,攻擊越來越頻繁����,還有很多企業(yè)中了勒索病毒暗地里就交錢解密了
現(xiàn)在很多勒索病毒都使用郵件或解密網(wǎng)站���,要求受害者通過這些網(wǎng)站進行解密操作���,而且都是使用BTC進行交易,而且功能非常完善���,下面我們就來分析一下最近很流行的Sodinokibi勒索病毒的解密網(wǎng)站���,如下所示:
400-001-9776
