1.背景
勒索病毒是一種惡意軟件,其目的是通過加密受害者的文件或鎖定計算機系統(tǒng)來勒索錢財���。通常文件會統(tǒng)一一種后綴����,并且會在每個文件夾中生成txt、html��、hta格式的勒索信���,勒索信會告知您的計算機已被加密��,需支付比特幣到比特幣錢包中方可獲取解密密鑰或恢復訪問權(quán)限��,并且會留下黑客的郵箱比特幣錢包地址����,便于受害者聯(lián)系及支付贖金�����。勒索病毒的攻擊過程依賴于加密����,加密文件會生成一對密鑰。其中之一是解密密鑰��,它成為訪問文件的唯一方法�����,受害者通過支付贖金的方式才能獲取解密密鑰。然而����,支付贖金并不一定能獲得解密密鑰或工具,例如攻擊者言而無信�,選擇“撕票”,在收到贖金后銷聲匿跡���,或者提供的密鑰無法正常解密。因此�,我們在此分享關(guān)于勒索病毒防范和處理的相關(guān)指南,希望能夠幫助大家更好地應對這類威脅�����。2. 勒索病毒常見傳播途徑
2.1 遠程桌面協(xié)議(RDP)暴力破解
RPD暴露在互聯(lián)網(wǎng)弱口令使得攻擊者可以輕易地通過暴力破解進入目標系統(tǒng)�����。成功獲取RDP訪問權(quán)限后���,攻擊者可以直接操作系統(tǒng)�����,無需繞過其他復雜的安全措施��。由于RDP通常用于遠程管理服務器和計算機����,攻擊者可以輕松地在網(wǎng)絡內(nèi)傳播勒索病毒。2.2 漏洞利用
很多企業(yè)在使用某OA及財務系統(tǒng)后�����,未定期做漏洞掃描�����,導致軟件系統(tǒng)存在多個漏洞存在�,從而使得攻擊者利用Nday輕松獲取系統(tǒng)權(quán)限,個別攻擊者會利用高危漏洞被披露后的短時間內(nèi)�����,利用1Day對暴露于網(wǎng)絡上并存在有漏洞未修復的機器發(fā)起攻擊����。2.3 釣魚郵件
攻擊者會對目標用戶進行打點信息收集����,獲取到目標用戶的郵箱信息后,進行偽造并批量發(fā)送�����,往往目標多為財務人員及高管���,通常發(fā)送的附件多為“人社部發(fā)〔2023〕161號文:公司與個人繳納比例最新調(diào)整”、“發(fā)票.rar”等進行命名���,配合話術(shù)使目標用戶降低防備心從而點擊運行附件�����,最終攻擊者通過釣魚獲取受災主機權(quán)限直接運行勒索病毒文件����,將受災主機數(shù)據(jù)全部加密�。2.4 數(shù)據(jù)庫入侵
用戶不當配置數(shù)據(jù)庫后���,導致暴露在互聯(lián)網(wǎng)�����,攻擊者可利用端口掃描+弱口令爆破結(jié)合進行攻擊���,從而獲取數(shù)據(jù)庫賬號密碼,使用SQL命令獲取服務器權(quán)限�����。3. 勒索病毒的危害
3.1 數(shù)據(jù)丟失
勒索病毒會加密受災用戶計算機系統(tǒng)的大部分文件�,導致無法正常使用和訪問,攻擊者通常使用不同類型的加密���,從對稱加密(如 AES 或 DES)到需要公鑰和私鑰的非對稱加密再到結(jié)合兩者的雙重加密�。勒索病毒攻擊正變得越來越頻繁和復雜,其目的是防止任何沒有密鑰的反向操作���。因此如果受災用戶沒有做數(shù)據(jù)備份�,并且選擇不支付贖金或支付贖金后仍未獲得解密密鑰����,那么數(shù)據(jù)可能會永久丟失。案例:英國國家醫(yī)療服務體系(NHS)近日透露�,24年6月初Synnovis醫(yī)療組織遭到俄羅斯勒索軟件組織“麒麟”(Qilin)攻擊,導致倫敦多家醫(yī)院受到影響����,由于數(shù)據(jù)被加密且未做備份,被迫取消了數(shù)百項手術(shù)計劃和門診預約�����。3.2 業(yè)務中斷
當勒索病毒感染企業(yè)的關(guān)鍵系統(tǒng)(如生產(chǎn)系統(tǒng)�、財務系統(tǒng)等)時���,這些系統(tǒng)服務等應用會被強制停運���,導致系統(tǒng)無法正常訪問和使用��,直接影響企業(yè)的正常運營�。案例:美國醫(yī)療保健巨頭阿森松醫(yī)院(Ascension)24年5月中旬遭遇了Black Basta勒索軟件團伙攻擊���,導致旗下140個醫(yī)院和40個高級護理機構(gòu)運營中斷�����,電子健康記錄系統(tǒng)�����、在線醫(yī)療平臺�、電話系統(tǒng)�����、配藥系統(tǒng)等重要信息基礎設施嚴重癱瘓�,該醫(yī)院已經(jīng)聘請了第三方專家團隊協(xié)助進行調(diào)查和補救,再次期間只能通過手動操作及紙質(zhì)記錄方式向患者提供必要的線下服務�。3.3 經(jīng)濟損失
因勒索病毒加密復雜,很多受災用戶被迫支付贖金以恢復對其數(shù)據(jù)的訪問���。贖金金額通常較高����,從幾千美元到幾百萬美元不等;但部分攻擊者言而無信����,收到贖金后不提供密鑰或者已讀不回,也存在收到贖金后將竊取的數(shù)據(jù)二次交易或公開��,更加劇了損失���。案例:24年2月醫(yī)療技術(shù)公司Change Healthcare遭受勒索病毒攻擊���,攻擊團伙是一個總部位于俄羅斯的勒索軟件團伙,稱為ALPHV�����。該組織本身聲稱對這次攻擊負責�����,聲稱它竊取了超過六TB的數(shù)據(jù)���,包括“敏感”醫(yī)療記錄����。本次攻擊使母公司UnitedHealth Group(UHG)花費了超過8.72億美元來應對這次攻擊帶來的后果�����,這些成本的一部分涉及向數(shù)千家供應商提供加速付款和無息��、免費貸款����。另一部分專門用于事件響應和從頭開始完全重建Change Healthcare的系統(tǒng)。事后�����,ALPHV團伙收到贖金后銷聲匿跡����,沒有按照約定將部分贖金分給負責竊取數(shù)據(jù)的附屬機構(gòu),導致該附屬機構(gòu)RansomHub再次索要贖金��,未果后公開了部分數(shù)據(jù)并有意交易其余數(shù)據(jù)�。3.4 聲譽損失
如果客戶數(shù)據(jù)被加密或泄露�����,客戶對企業(yè)的信任度會下降�,導致客戶流失和業(yè)務機會減少�����,并且勒索病毒攻擊通常會引起媒體廣泛關(guān)注�����,負面報道會損害企業(yè)的品牌形象��,特別是對知名品牌而言����。案例:20年8月初著名數(shù)碼攝像機廠商佳能(Canon)遭受的Maze勒索病毒攻擊,導致超過 10TB 的數(shù)據(jù)被盜�����。即使佳能第一時間官方提供解決方案但客戶對佳能已經(jīng)產(chǎn)生了質(zhì)疑�,導致信任度下降,并且由于大量負面新聞報道也影響了佳能的市值和在市場的地位��。4. 全流程教程
4.1 防止擴散
4.1.1 隔離感染的設備
若發(fā)現(xiàn)自己的電腦或者服務器已被感染勒索病毒,需立即斷開感染設備的網(wǎng)絡連接�,包括有線網(wǎng)絡和無線網(wǎng)絡�,以防止該病毒橫向擴散。從受感染的設備(如PC���、服務器)上拔掉網(wǎng)線����,立即切斷其與網(wǎng)絡的物理連接�。如果設備通過Wi-Fi連接,關(guān)閉設備上的Wi-Fi連接功能���,也可以在無線訪問點或無線控制器上將受感染設備的MAC地址列入黑名單����,禁止其連接��。4.1.2 通知相關(guān)人員和部門
在隔離完成后���,立即通知公司相關(guān)人員及部門同步感染情況�����,讓部門調(diào)派人員進行下一步處置操作�����,部門收到消息后����,緊急同步給公司所有人員,讓后續(xù)其他受災用戶及時聯(lián)系部門�。4.1.3 阻止進一步傳播
若公司有部署交換機,管理員可登錄到交換機管理界面(通常是通過Web界面或命令行界面)��,在交換機管理界面中���,找到相應的端口并將其禁用�。在防火墻上封鎖常用的勒索病毒傳播端口(如SMB端口445����、3389遠程桌面端口等),可根據(jù)所中招的勒索病毒進行信息收集確認后進行封禁��,在防火墻管理界面中添加規(guī)則�,阻止特定端口的入站和出站流量。若公司有部署相關(guān)網(wǎng)絡設備����,可以掃描網(wǎng)絡中的其他設備�����,檢查是否有其他設備受到感染���。4.1.4 關(guān)停勒索病毒軟件
windows系統(tǒng)可查看任務管理器中CPU占有率最高的程序定位是否為勒索病毒程序�,同時按下【Ctrl + Shift + Esc】鍵或右鍵單擊任務欄的空白處選中任務管理器。
4.2 數(shù)據(jù)備份
當發(fā)現(xiàn)系統(tǒng)感染了勒索病毒后��,需立即進行數(shù)據(jù)備份可以確保未被加密或未受影響的數(shù)據(jù)得到保護���。這可以防止勒索病毒進一步擴散和加密更多的文件�,對數(shù)據(jù)進行備份也是為了確保后續(xù)恢復期間出現(xiàn)問題可以及時回滾����。4.2.1 Windows Server Backup
打開服務器管理器,點擊“添加角色和功能”�,勾選Windows Server Backup對其進行安裝,根據(jù)需求對其進行全備份���、增量備份或差異備份�,備份完成后可以在備份目標看到相應的備份文件。4.2.2 第三方軟件進行備份
可利用微PE及DiskGenius軟件相結(jié)合進行數(shù)據(jù)備份��,使用微PE制作U盤后��,重啟進入BIOS���,通過DiskGenius軟件選擇需要備份的硬盤數(shù)據(jù)進行備份4.2.3 快照虛擬機
VMware可以選擇拍攝快照進行數(shù)據(jù)備份��,顧名思義將此刻的的系統(tǒng)狀態(tài)進行存檔(包含了所有的內(nèi)容)����,后續(xù)想要返回這個時間節(jié)點點擊快照管理器此刻存檔點即可恢復�����。
4.3 安全加固項檢查
4.3.1 啟動項
方法一:運行框
【W(wǎng)in+R】打開運行框����,輸入【msconfig】命令,在【系統(tǒng)配置】框中單擊【啟動】選項卡�,可查看啟動項的詳細信息。
方法二:文件夾
訪問以下路徑可查看啟動項目錄下是否非業(yè)務程序在該目錄下�����。
C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
方法三:注冊表
【W(wǎng)in+R】打開運行框,輸入【regedit】命令打開注冊表���,可通過注冊表查看開機啟動項是否正常�����,尤其需要注意以下三個注冊表��,檢查右側(cè)是否存在異常的項目并清除殘留病毒或木馬
HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
4.3.2 計劃任務
方法一:運行框
【W(wǎng)in+R】打開運行框����,輸入【control】命令打開控制面板����,點擊任務計劃程序��,查看計劃任務屬性�����,便可以發(fā)現(xiàn) 木馬文件的路徑��。
方法二:schtasks命令
通過cmd命令框輸入schtasks命令�,通過命令行界面靈活管理Windows計劃任務
4.3.3 網(wǎng)絡連接
端口連接情況
查看服務器端口連接情況����,判斷是否有遠程連接����、可疑連接,通過以下命令可以查看
netstat -ano |more
若不確定IP是否可疑�,可結(jié)合微步對IP進行信息查詢程序定位
如若確定可疑IP和端口,可使用tasklist命令進行進程定位����,快速確認該程序是什么
tasklist /scv|findstr "PID"
在確定程序名稱后,可使用everything進行程序文件定位可疑進程
【W(wǎng)in+R】打開運行框���,輸入【msinfo32】命令打開系統(tǒng)信息���,依次點擊 "軟件環(huán)境 -- 正在運行任務",可以查看到進程的詳細信息���,比如進程路徑����、進程ID、文件創(chuàng)建日期以及啟動時間等����。
4.3.4 賬號排查
方法一:net user命令
通過cmd命令框輸入net user,查看系統(tǒng)中創(chuàng)建的用戶�����。
DefaultAccount:這是Windows 10中的一個預設賬戶���,通常在新安裝的系統(tǒng)中會出現(xiàn)����。它在用戶首次登錄前提供了一個臨時的�����、有限的用戶體驗�。這個賬戶通常不顯示在登錄屏幕上����,并且沒有密碼保護。WDAGUtilityAccount:這是Windows Defender Application Guard (WDAG) 的服務賬戶�����。WDAG是Windows 10的一個安全功能,允許用戶在隔離的環(huán)境中運行不受信任的應用程序和瀏覽器會話��,以防止惡意軟件對主操作系統(tǒng)的影響���。WDAGUtilityAccount是與這項功能相關(guān)聯(lián)的服務賬戶�,用于管理和運行WDAG的相關(guān)進程����。Guest:Guest賬戶是Windows操作系統(tǒng)中的一個標準設置,用于提供有限的訪客或臨時用戶訪問權(quán)限����。Guest賬戶通常處于限制模式,擁有最低限度的系統(tǒng)權(quán)限�,并且通常無法安裝軟件或更改系統(tǒng)設置。它設計用于短期或不常用的臨時訪問�。
可以查看指定用戶的信息,比如上次登錄時間
net user administrator
方法二:運行框
【W(wǎng)in+R】打開運行框���,輸入【lusrmgr.msc】命令打開本地用戶和組��,可以看到系統(tǒng)中的所有用戶��,包括隱藏用戶��。
方法三:注冊表
【W(wǎng)in+R】打開運行框��,輸入【regedit】命令打開注冊表����,可以看到系統(tǒng)中的所有用戶,包括隱藏用戶�����。查找以下路徑:
\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
默認無法查看該選項內(nèi)容���,需右鍵權(quán)限���,勾選為完全控制后確認,刷新即可看到
4.3.5 Webshell查殺
若服務器搭建系統(tǒng)�,攻擊者可能通過系統(tǒng)漏洞上傳Webshell進行攻擊利用,可通過D盾查殺工具進行排查檢測����,選擇對應文件夾進行檢測�����,右鍵點擊可選擇打開當前所在文件夾進行刪除。
該工具除Webshell查殺功能以外�����,也能對啟動項���、隱藏賬戶���、網(wǎng)絡連接進行排查。
該文章在 2024/6/28 11:30:51 編輯過
400 186 1886
